+ 41 52 511 3200 (SUI)     + 1 713 364 5427 (EUA)     
Política de cibersegurança

 

1. Introdução e propósito

1.1 Rheonics está comprometida em proteger seus ativos de informação, incluindo dados proprietários, informações de clientes, propriedade intelectual e infraestrutura de TI, contra acesso, uso, divulgação, alteração, interrupção ou destruição não autorizados.

1.2 Esta política estabelece a estrutura para manter um ambiente seguro para Rheonics' operações digitais, alinhadas com:

  • Regulamentos: FADP suíço, GDPR (quando aplicável), leis estaduais/federais dos EUA e outras leis nacionais aplicáveis. Rheonics opera.
  • Padrões: princípios Zero Trust, CIS Benchmarks, diretrizes NIST (por exemplo, SP 800-88, SP 800-171 quando aplicável) e diretrizes OWASP.

1.3 Objetivos:

  • Proteja a confidencialidade, integridade e disponibilidade (CIA) de dados e sistemas.
  • Minimize os riscos de incidentes de segurança cibernética e garanta a continuidade dos negócios.
  • Promova uma cultura de conscientização sobre segurança entre todo o pessoal.
  • Garantir a conformidade com as obrigações legais, regulatórias e contratuais.

 

2. Escopo

Aplica-se a todos Rheonics funcionários, contratados, consultores, estagiários, voluntários e terceiros (“Usuários”) que acessam Rheonics sistemas, dados ou instalações. Abrange:

2.1 Ativos

  • Hardware
  • Software (incluindo SaaS/IaaS/PaaS)
  • Dados (eletrônicos e físicos)
  • Redes
  • Instalações físicas

2.2 Atividades

  • Trabalho no local
  • Trabalho remoto
  • Uso de dispositivos de propriedade da empresa
  • Uso de dispositivos pessoais (BYOD)
  • Atividades de desenvolvimento
  • Interações com fornecedores terceirizados

 

3. Funções e responsabilidades


TipoFunções-chave
Gestão de SistemasDefender políticas; alocar recursos; garantir conformidade geral e gerenciamento de riscos.
Equipe de TI/SegurançaImplementar/gerenciar controles; liderar resposta a incidentes; conduzir auditorias e avaliações.
Todos os usuáriosCumpra a política; use senhas fortes + MFA; relate incidentes imediatamente; conclua o treinamento.

 

4. Declarações de política

4.1 Segurança de Dados

  • Classificação e manuseio: Os dados devem ser classificados e tratados de acordo com a sensibilidade (ver Apêndice A). Os requisitos aumentam com a sensibilidade.
  • Criptografia: Dados restritos e confidenciais devem ser criptografados em repouso e em trânsito usando algoritmos fortes e padrão do setor.
  • Disposição: Métodos seguros devem ser utilizados: limpeza em conformidade com a norma NIST SP 800-88 para mídia eletrônica; destruição transversal (P-4 ou superior) para documentos físicos que contenham dados confidenciais ou restritos. Os cronogramas de retenção de dados devem ser seguidos.

4.2 Controle de Acesso

  • Privilégio mínimo e RBAC: O acesso é concedido com base na necessidade da função do trabalho (privilégio mínimo) usando o Controle de Acesso Baseado em Função (RBAC).
  • Autenticação: IDs de usuário exclusivos são obrigatórios. Senhas fortes (consulte o Apêndice B) e autenticação multifator (MFA) são obrigatórias para serviços em nuvem, acesso remoto, contas administrativas e sistemas que manipulam dados confidenciais/restritos.
  • Comentários: Direitos de acesso revisados ​​trimestralmente por gerentes/proprietários do sistema; revogados imediatamente após desligamento ou mudança de função. Processo formal de aprovação necessário para concessões/alterações de acesso.

4.3 Política de Uso Aceitável (PUA)

  • Objetivo do negócio: Rheonics Os recursos são destinados principalmente ao uso comercial. O uso pessoal incidental limitado é permitido, desde que não interfira nas tarefas, consuma recursos excessivos, incorra em custos ou viole políticas/leis.
  • Atividades proibidas: Incluindo, mas não se limitando a: atividades ilegais, assédio, acesso/distribuição de material ofensivo, violação de direitos autorais, modificação não autorizada do sistema, burlar controles de segurança, instalação de software não autorizado, introdução de malware, compartilhamento/exfiltração de dados não autorizados, uso pessoal excessivo.
  • Vigilância do usuário: Os usuários devem ter cuidado com e-mails (phishing), navegação na web (sites maliciosos) e manuseio de anexos/links.

4.4 Segurança de rede

  • Perímetro e segmentação: Firewalls e IDS/IPS mantidos. A segmentação da rede isola sistemas críticos (por exemplo, P&D, produção) e armazenamentos de dados.
  • Wi-Fi: WPA3-Enterprise seguro (ou WPA2-Enterprise, no mínimo) para redes internas. O Wi-Fi para convidados deve ser logicamente separado e não fornecer acesso a recursos internos.
  • Acesso Remoto: Somente via VPN aprovada pela empresa com MFA. O tunelamento dividido pode ser restrito.
  • ZeroTrust: A implementação dos princípios da arquitetura Zero Trust (por exemplo, microssegmentação, verificação contínua, verificações de integridade do dispositivo) está em andamento, com previsão de conclusão até o primeiro trimestre de 1 para redes críticas.

4.5 Segurança de endpoint de propriedade da empresa

  • pós-colheita: Todos os endpoints de propriedade da empresa (desktops, laptops, celulares) devem ter software de detecção e resposta de endpoint (EDR) gerenciado pela empresa ou software antivírus aprovado, em execução e atualizado.
  • Aplicação de patches: Os sistemas operacionais e aplicativos devem ser mantidos atualizados por meio do processo de gerenciamento de patches da empresa. Os patches críticos devem ser aplicados dentro de prazos definidos.Rheonics para definir cronogramas, por exemplo, 72 horas para sistemas operacionais críticos].
  • Criptografia: A criptografia de disco completo (por exemplo, BitLocker, FileVault) é obrigatória em laptops e dispositivos portáteis.

4.6 Traga seu próprio dispositivo (BYOD)

  • Aprovação e Padrões: Uso de dispositivos pessoais (BYOD) para acessar informações não públicas Rheonics os dados exigem aprovação explícita e adesão a padrões mínimos (ver Apêndice D).
  • Requisitos de segurança: Inclui registro MDM, versões de sistema operacional suportadas, software de segurança, criptografia, senhas, capacidade de limpeza remota e segregação/conteinerização de dados.
  • Aviso Legal: Rheonics reserva-se o direito de gerenciar/limpar dados da empresa de dispositivos BYOD; Rheonics não é responsável pela perda de dados pessoais durante ações de segurança.

4.7 Segurança e Gerenciamento de Software

  • Software Autorizado: Somente softwares licenciados e aprovados pelo departamento de TI podem ser instalados. É proibido aos usuários instalar aplicativos não autorizados.
  • Gerenciamento de patches: Aplica-se a todos os softwares (SO, aplicativos, firmware) em todos os sistemas (servidores, endpoints, dispositivos de rede).
  • Gerenciamento de vulnerabilidades: Realização regular de varreduras de vulnerabilidades. Vulnerabilidades críticas devem ser corrigidas dentro de prazos definidos.Rheonics para definir]. Testes de penetração realizados periodicamente em sistemas críticos.
  • Desenvolvimento Seguro: (Se aplicável) As equipes de desenvolvimento devem seguir práticas de codificação seguras (por exemplo, OWASP Top 10), conduzir revisões de código e usar ferramentas de teste de segurança (SAST/DAST).
  • Análise de Composição de Software (SCA): Componentes de código aberto devem ser inventariados e verificados quanto a vulnerabilidades. O uso de software/componentes em fim de vida útil (EOL) é proibido, a menos que haja aceitação explícita do risco pela Gerência/Segurança de TI.

4.8 Segurança Física

  • Controle de acesso: O acesso aos Rheonics Instalações, salas de servidores e laboratórios de P&D restritos por meio de controles físicos (crachás, chaves, biometria). Registros de acesso mantidos para áreas sensíveis.
  • Gestão de visitantes: Os visitantes devem assinar o registro, receber uma identificação temporária e ser escoltados em áreas não públicas.
  • Segurança da estação de trabalho: Os usuários devem bloquear as estações de trabalho quando estiverem sem supervisão (Windows+L / Ctrl+Cmd+Q).
  • Limpe a mesa/tela: Informações sensíveis (documentos físicos, telas) devem ser protegidas contra visualização não autorizada, especialmente em áreas abertas ou ao deixar mesas sem supervisão. Utilize lixeiras de descarte seguras.

4.9 Segurança na nuvem

  • Serviços Aprovados: Uso de serviços em nuvem (SaaS, IaaS, PaaS) para Rheonics os dados devem ser aprovados pelo TI/Segurança.
  • Configuração e Monitoramentooring: Os serviços devem ser configurados com segurança, alinhados aos benchmarks do CIS, quando aplicável (AWS/GCP/Azure). Políticas de acesso condicional (por exemplo, geolocalização, conformidade de dispositivos) devem ser aplicadas. O registro de atividades da API e do usuário deve ser habilitado e monitorado.
  • Proteção de dados: Garantir que os provedores de nuvem atendam Rheonics'segurança de dados, criptografia, backup e requisitos de residência por meio de contratos e avaliações.

4.10 Gestão de Terceiros/Fornecedores

  • Avaliação de risco: Avaliações de segurança realizadas antes de contratar fornecedores que acessam, processam, armazenam Rheonics dados ou conectar-se a redes. O nível de risco determina a profundidade da avaliação.
  • Requisitos contratuais: Os contratos devem incluir cláusulas que abranjam confidencialidade, proteção de dados (incluindo DPAs se dados pessoais forem processados ​​sob GDPR/FADP), controles de segurança, notificação de incidentes e direitos de auditoria.
  • Monitoramento em andamentooring: Revisão periódica da postura de segurança crítica do fornecedor.

4.11 Resposta a incidentes

  • Relatório: Os incidentes suspeitos devem ser reportados imediatamente (alvo dentro de 1 hora após a descoberta) via () ou (canal de Equipes Internas da Empresa 24/7).
  • Plano de Resposta: Rheonics mantém um Plano de Resposta a Incidentes (IRP). Consulte o Apêndice C para o fluxo básico.
  • Incidentes Críticos: (por exemplo, ransomware, violação de dados confirmada) Acionar ações de escalonamento e contenção (atingir o alvo em até 4 horas). A notificação legal/executiva segue os prazos determinados pelas regulamentações (por exemplo, notificação de violação de 72 horas do GDPR/FADP, quando aplicável).
  • Cooperação: Todos os usuários devem cooperar totalmente com as investigações de resposta a incidentes.

 

5. Aplicação

As violações serão tratadas com base na gravidade e na intenção, de acordo com a legislação trabalhista local.

ViolaçãoExemploConsequência (Exemplos)
MenorDesvio acidental de política; treinamento não crítico perdidoAdvertência por escrito; reciclagem obrigatória
PrincipalCredenciais compartilhadas; violações menores repetidas; instalação de software P2P não autorizadoSuspensão; ação disciplinar formal
Crítico / IntencionalViolação intencional de dados; atividade maliciosa; sabotagemRescisão; possível ação legal

 

6. Manutenção de Políticas

  • Cadência de revisão: Revisado pelo menos anualmente pelo Proprietário da Política (Chefe de TI) e pelas partes interessadas.
  • Gatilhos de revisão: Revisões ad hoc acionadas por: grandes incidentes de segurança, mudanças regulatórias significativas (por exemplo, novas leis de privacidade de dados), grandes mudanças de tecnologia/infraestrutura (por exemplo, grande migração para a nuvem), descobertas de auditoria.
  • Atualizações: Alterações aprovadas comunicadas a todos os usuários.

 

7. Apêndices

7.1 Apêndice A: Classificação de Dados

ClassificaçãoExemploRequisitos de manuseio
RestritoPII do cliente, código-fonte de P&D, chaves de criptografia• Criptografia (em repouso/trânsito)
• Registros de acesso restrito
• Necessidade de saber + aprovação explícita
• Revisão anual de acesso
ConfidencialRegistros de funcionários, dados financeiros, estratégias internas• MFA recomendado/obrigatório
• Base de necessidade de saber
• Compartilhamento interno limitado
InternoNotas de reunião, políticas internas, comunicações gerais• Não há compartilhamento externo sem aprovação.
• Utilizar sistemas da empresa
PúblicoMateriais de marketing, conteúdo público do site• Sem restrições de manuseio/compartilhamento

 

7.2 Apêndice B: Requisitos de senha

  • Comprimento mínimo:
    • Contas de usuário: 12 caracteres
    • Contas de administrador/serviço: 16 caracteres
  • Complexidade
    • Pelo menos 3 de 4: letras maiúsculas, letras minúsculas, números, símbolos (~!@#$%^&*()-_=+[]{}|;:'”,.<>/?). Não pode conter nome de usuário ou palavras comuns do dicionário.
  • rotação
    • Máximo de 90 dias (a menos que sejam utilizados métodos de autenticação contínua aprovados).
  • História
    • As 5 senhas anteriores não podem ser reutilizadas.
  • Armazenamento:
    • Não deve ser escrito sem segurança. Use um gerenciador de senhas aprovado pela empresa (por exemplo, Bitwarden, 1Password) paraoring Senhas complexas e exclusivas. É proibido compartilhar senhas. É proibido ignorar o MFA.

 

7.3 Apêndice C: Fluxo de resposta a incidentes

  • Detecção e Análise: Identificar potenciais incidentes.
  • Relatório: Reporte IMEDIATAMENTE (dentro do prazo de 1 hora) ao TI/Segurança por meio de canais definidos.
  • Triagem e Avaliação: TI/Segurança avalia a gravidade e o impacto.
  • Contenção: Isole os sistemas/contas afetados (no prazo de 4 horas para incidentes críticos).
  • Erradicação: Remova ameaças/vulnerabilidades.
  • Recuperacao: Restaure sistemas/dados com segurança.
  • Revisão pós-incidente: Lições aprendidas, melhoria de processos.
    • Notificação: Notificações legais/regulatórias/ao cliente realizadas conforme necessário com base na avaliação (por exemplo, dentro de 72 horas para violações de dados pessoais do GDPR/FADP).

 

7.4. Apêndice D: Padrões mínimos BYOD

  • Profissional: Necessário antes de acessar dados não públicos.
  • Requisitos do dispositivo:
    • Versões do sistema operacional: Deve executar versões atualmente suportadas pelo fornecedor (por exemplo, Windows 11+, macOS 14+, iOS 16+, Android 13+)
    • Segurança: Bloqueio de tela/biometria ativados; criptografia do dispositivo ativada; software de segurança aprovado (AV/antimalware) pode ser necessário; dispositivo não desbloqueado/rooteado.
    • MDM: Matrícula em Rheonics'A solução de gerenciamento de dispositivos móveis (MDM) é obrigatória.
    • Limpeza remota: O recurso deve ser habilitado para dados/perfil da empresa.
  • Segregação de dados: Dados da empresa acessados/armazenados por meio de aplicativos aprovados em um perfil ou contêiner gerenciado (por exemplo, Microsoft Intune MAM, Android Work Profile). Dados da empresa não podem ser copiados para aplicativos/armazenamentos pessoais.
  • Network: Conecte-se via Wi-Fi seguro; evite Wi-Fi público não confiável para trabalhar.

 

8. Contato e Reconhecimento

  • Perguntas/preocupações sobre segurança: Contato () ou equipe de TI/segurança por meio de canais internos.
  • Relatar incidentes: Use métodos urgentes: () e (canal de Equipes Internas da Empresa 24/7).
  • Reconhecimento: Todos os usuários devem ler, compreender e confirmar o recebimento desta política eletronicamente via (Portal de RH, Sistema de Treinamento) após a integração e após atualizações significativas. A não confirmação não invalida a aplicabilidade desta política.
Baixe a Política de Segurança Cibernética
Rheonics Política de cibersegurança
Pesquisar