1. INTRODUÇÃO E PROPÓSITO

1.1. Objetivo

Definir as diretrizes e regras de segurança da informação a serem seguidas por todos os colaboradores, fornecedores e parceiros que interagem, desenvolvem, operam ou administram o website empresarial da Viação Belém Novo. O objetivo principal é proteger os ativos de informação, garantindo a Confidencialidade, Integridade e Disponibilidade dos dados e serviços.

1.2. Escopo

Esta Política se aplica a todos os ativos de informação, sistemas, dados e infraestrutura de TI relacionados ao website principal da Viação Belém Novo, incluindo servidores, banco de dados, códigos-fonte, plataformas de hospedagem e todos os dados de usuários e clientes coletados, processados e armazenados através do site.

1.3. Princípios Fundamentais

A segurança da informação do website deve se basear nos seguintes pilares:

Confidencialidade: Garantia de que a informação é acessível apenas por aqueles autorizados.

Integridade: Garantia de que a informação é precisa e completa, e protegida contra modificação não autorizada.

Disponibilidade: Garantia de que a informação e os sistemas (website) estão acessíveis e operacionais quando necessários.

Conformidade: Cumprimento de todas as leis e regulamentos aplicáveis, em especial a Lei Geral de Proteção de Dados (LGPD) no Brasil, se houver tratamento de dados pessoais.

2. RESPONSABILIDADES

2.1. Alta Direção

Garantir que a PSI seja estabelecida, implementada, mantida e revisada, e que recursos adequados sejam fornecidos.

2.2. Equipe de TI / Desenvolvimento / Administradores do Site

Implementar e manter as medidas de segurança técnicas definidas nesta Política.

Garantir que todas as atualizações de segurança e patches sejam aplicados em tempo hábil.

Monitorar e responder a incidentes de segurança.

Realizar backups periódicos e testes de recuperação.

2.3. Colaboradores e Usuários com Acesso Administrativo

Cumprir integralmente esta Política e quaisquer procedimentos relacionados.

Reportar imediatamente qualquer suspeita de vulnerabilidade ou incidente de segurança.

Utilizar acessos e credenciais apenas para fins profissionais autorizados.

3. DIRETRIZES DE SEGURANÇA TÉCNICA (WEBSITE)

3.1. Controle de Acesso e Autenticação

O acesso ao ambiente de hospedagem, banco de dados e sistemas de gerenciamento de conteúdo (CMS) deve ser concedido apenas a colaboradores autorizados, baseado no princípio da necessidade de saber.

Todas as contas administrativas e de acesso privilegiado devem utilizar senhas fortes (combinação de letras maiúsculas, minúsculas, números e caracteres especiais, com no mínimo 8 caracteres) e ser alteradas periodicamente.

A Autenticação de Múltiplos Fatores (MFA) deve ser implementada para todos os acessos administrativos críticos.

Não é permitido o compartilhamento de credenciais de acesso.

3.2. Segurança da Rede e Comunicações

Todo o tráfego de dados entre o usuário e o website deve ser criptografado utilizando o protocolo HTTPS/SSL/TLS.

Devem ser utilizados sistemas de Firewall de Aplicação Web (WAF) para proteger contra ataques comuns, como Cross-Site Scripting (XSS), SQL Injection e outras vulnerabilidades do OWASP Top 10.

Mecanismos de mitigação de ataques de Negação de Serviço Distribuído (DDoS) devem ser implementados.

3.3. Desenvolvimento Seguro

O código-fonte do website deve ser submetido a revisões de segurança e testes de vulnerabilidade regulares.

Todas as entradas de dados do usuário devem ser validadas e sanitizadas para prevenir injeções de código.

Bibliotecas, frameworks e componentes de terceiros devem ser mantidos atualizados e ter sua segurança verificada.

3.4. Gestão de Vulnerabilidades e Patch Management

Deve ser estabelecido um processo contínuo de varredura e gerenciamento de vulnerabilidades.

Todas as vulnerabilidades de alto risco no CMS, plugins, sistema operacional do servidor e outras dependências devem ser corrigidas (aplicação de patches) imediatamente.

3.5. Backups e Continuidade de Negócios

Backups completos dos dados e da estrutura do website devem ser realizados, no mínimo, [definir periodicidade, ex: diariamente ou semanalmente].

Os backups devem ser armazenados de forma segura, preferencialmente fora do ambiente de produção (off-site ou em nuvem com criptografia).

Testes de recuperação e restauração do website devem ser realizados periodicamente para garantir a eficácia dos backups.

4. TRATAMENTO E PROTEÇÃO DE DADOS PESSOAIS (LGPD)

A coleta, processamento, armazenamento e descarte de dados pessoais através do website (formulários, cadastros, cookies) deve estar em total conformidade com a LGPD e a Viação Belém Novo  deve manter uma Política de Privacidade específica acessível aos usuários.

Dados pessoais sensíveis (se coletados) devem ser protegidos com o mais alto nível de criptografia, tanto em trânsito quanto em repouso.

Os dados de clientes e usuários devem ser utilizados apenas para os propósitos informados e com o consentimento legal apropriado.

5. MONITORAMENTO E GESTÃO DE INCIDENTES

Os logs de atividades do website, incluindo acesso administrativo e tentativas de login, devem ser coletados, armazenados de forma segura e revisados regularmente.

Deve haver um Plano de Resposta a Incidentes de Segurança documentado, definindo os procedimentos a serem seguidos em caso de violação de dados ou comprometimento do site.

Qualquer incidente ou suspeita de incidente deve ser reportado imediatamente à área responsável (ex: TI ou DPO).

6. REVISÃO DA POLÍTICA

Esta Política será revisada anualmente ou sempre que houver mudanças significativas no ambiente tecnológico, nos requisitos legais ou na estrutura do website.