Viabilizando a consulta por todos os colaboradores da empresa e demais partes interessadas, a presente
Política encontra-se disponível através da rede interna, em modo impresso e no site da DYNA (dyna.com.br).
OBJETIVO
• Estabelecer diretrizes que permitam aos colaboradores e clientes a seguirem padrões de
comportamento relacionados à segurança da informação adequados às necessidades de negócio e de
proteção legal da empresa e do indivíduo.
• Garantir a continuidade das operações de negócio e minimizar danos financeiros ou reputacionais
em caso de incidentes de segurança.
• Nortear a definição de normas e procedimentos específicos de segurança da informação, bem como
a implementação de controles e processos para seu atendimento.
• Proteger a informação contra acessos não autorizados, vazamentos, alterações ou destruições
acidentais/dolosas.
• Cumprir as leis e regulamentos aplicáveis, como a LGPD (Lei Geral de Proteção de Dados) e outras
regulamentações específicas do setor.
PRINCÍPIOS DA PSI
• Confidencialidade: as informações devem ser acessadas somente por pessoas autorizadas, conforme
a classificação de Níveis de Confidencialidade. Dados sensíveis (ex.: dados pessoais ou estratégicos)
devem ser protegidos com controle rigoroso de acessos.
• Integridade: os ativos devem ser protegidos contra alterações não autorizadas, acidentais ou dolosas.
Mudanças nos sistemas ou registros devem ser rastreáveis por meio de auditorias e logs.
• Disponibilidade: sistemas e informações essenciais às operações do negócio devem ser sempre
disponíveis, com backups regulares e um plano de recuperação de desastres testado regularmente.
• Gerenciamento de Riscos: a DYNA adotará um processo contínuo de gerenciamento de riscos para
identificar, avaliar e mitigar ameaças à segurança da informação.
APLICAÇÃO
• A presente Política aplica-se a:
– Todos que possam acessar as áreas, equipamentos, informações, arquivos, redes, sistemas e
dados de propriedade da DYNA, como alta administração, diretores, gerentes, coordenadores,
colaboradores próprios e terceirizados, estagiários, menores aprendizes, parceiros comerciais que
atuam em nome da DYNA, parceiros de negócios e fornecedores que, no âmbito dessa relação,
deverão observar as presentes regras e recomendações para quaisquer operações que possam
impactar na segurança das informações na DYNA.
– Todos os ativos de informação, incluindo dados digitais, documentos físicos, sistemas, dispositivos
e infraestruturas de TI.
• Esta política dá ciência a cada colaborador de que os ambientes, sistemas, computadores,
smartphones e redes da empresa poderão ser monitorados e gravados, com prévia informação,
conforme previsto na legislação nacional.
• Cada colaborador se compromete também a se manter atualizado em relação a esta PSI e aos
procedimentos e normas relacionadas, buscando orientação do seu gestor, GQ ou TI sempre que não
estiver absolutamente seguro quanto ao tratamento seguro das informações a que lhe forem confiadas.
• O não cumprimento das disposições ora previstas sujeitará o infrator às sanções previstas fixadas pelo
Comitê de Segurança de Informação (CSI) previsto nesta Política, sem prejuízo das medidas previstas
em lei, caso se aplique.
NORMAS COMPLEMENTARES
• Esta Política de Segurança da Informação deverá ser implementada na DYNA também por meio de
normas complementares e procedimentos específicos, obrigatórios para todos os colaboradores,
independentemente do nível hierárquico ou função na empresa, bem como de vínculo empregatício ou
prestação de serviço.
DIRETRIZES
Diretrizes gerais
• Um Comitê de Segurança da Informação (CSI) é constituído com membros indicados pela alta
administração da DYNA, tendo como principal responsabilidade a gestão da segurança da informação
na empresa. Funções e responsabilidades pela segurança da informação são definidas e atribuídas.
• Além destas diretrizes, a DYNA também se apoia nos melhores procedimentos e práticas de segurança
da informação, conforme documentos complementares, tais como procedimentos, instruções de
trabalho, demais políticas e normas.
• Por meio de verificações de conformidade periódicas, o CSI avalia o cumprimento desta política e
demais documentos complementares.
Gestão de ativos de informação e suporte
Os ativos devem:
• Ser inventariados, com seus gestores ou proprietários e custodiantes identificados, ter a sua a entrada
e saída nas dependências da DYNA autorizadas e registradas por autoridade competente.
• Ser passíveis de monitoramento e ter seu uso investigado quando houver indícios de quebra de
segurança, por meio de mecanismos que permitam a rastreabilidade do uso desses ativos.
• Ter regulamentadas políticas e/ou procedimentos específicos quanto à sua utilização e manuseio.
• Ser utilizados estritamente dentro do seu propósito, sendo vedado seu uso para fins particulares ou de
terceiros, entretenimento, veiculação de opiniões político partidárias, religiosas, discriminatórias e afins.
• A DYNA estabelece critérios de classificação da informação e seu tratamento/manuseio, durante o seu
ciclo de vida, de acordo com o nível de proteção requerido quanto a sua confidencialidade e criticidade
e legislação em vigor.
• Os ativos de suporte têm seu manuseio harmonizados com o grau de proteção dos ativos de informação
que suportam. Recursos tecnológicos, sistemas e as instalações de infraestrutura devem ser protegidos
contra indisponibilidade, acessos indevidos, falhas, bem como perdas, danos, furtos, roubos e
interrupções não programadas.
• O acesso dos usuários aos ativos de informação e sua utilização deve ser autorizado pelo proprietário
do ativo. Os eventos de acesso são passíveis de registros e auditoria periódica.
Gestão de riscos
• O gestor dos ativos de informação deve estabelecer processos de Avaliação de Riscos de Segurança
da Informação que possibilitem identificar ameaças e reduzir vulnerabilidades dos ativos de informação,
assim como reduzir os impactos de eventuais incidentes com os mesmos.
• A Avaliação de Riscos é um processo contínuo e deve ser aplicado na implementação e operação da
Gestão de Segurança da Informação, levando em consideração o planejamento, execução, análise
crítica e melhoria da SI na DYNA.
Avaliações
• Esta política e suas normas complementares, devem ter suas aplicações verificadas através de
análises críticas regulares (auditorias), tanto internamente como por entidades externas independentes.
• O resultado das verificações, auditorias e análises deve ser registrado e seus aspectos críticos devem
ser reportados para à direção da DYNA e tratados.
• Um cronograma de auditoria deve ser definido, cobrindo todo o escopo.
Gerenciamento de incidentes e crise
• A DYNA estabelecerá um plano de gerenciamento de incidentes de segurança da informação, incluindo
a contenção e mitigação imediata do impacto, investigação para identificar causa raiz e registro e lições
aprendidas para evitar reincidências.
• Todos os incidentes devem ser relatados imediatamente à equipe responsável, conforme plano de
tratamento de incidentes. O canal de comunicação deve ser de conhecimento de todos.
• O Comité de Segurança da Informação pode ser acionado para auxiliar no tratamento do incidente.
Recursos humanos
• As funções e cargos sensíveis com relação à segurança da informação devem ser identificados e um
processo de contratação para estas funções, com verificação de identidade, deve ser definido.
Controles de perfis e permissão de acessos aos ativos de informação devem ser implantados.
• Os colaboradores e usuários de ativos devem ter ciência formal das ameaças e preocupações relativas
ao tratamento seguro da informação e de suas responsabilidades e obrigações no âmbito desta PSI e
as consequências no caso de descumprimento.
• Processos permanentes de conscientização, capacitação e sensibilização em segurança da informação
que alcancem todos os usuários de ativos da DYNA devem ser estabelecidos, de acordo com seu
relacionamento e atribuições na organização.
Treinamento de pessoal
• Devem ser realizados treinamento de segurança da informação para todos colaboradores atuais e
novos, evidenciando a sua participação.
• Um treinamento de reforço deve ser realizado toda vez que for identificada uma fragilidade em alguma
norma ou procedimento complementar de segurança da informação.
Segurança física
• As áreas sensíveis devem ser identificadas e um conceito de zonas de segurança, bem como os
requisitos para os diferentes tipos de tratamento ou manuseio de ativos, devem ser estabelecidos,
onsiderando o grau de proteção conforme a classificação dos ativos tratados.
• Os requisitos de manuseio dos ativos devem ser estendidos aos ativos de suporte, durante o seu ciclo
de vida e também aos dispositivos móveis, principalmente os que armazenam informações.
• O acesso físico às instalações da DYNA, bem como das áreas sensíveis, deve ser controlado por
sistemas de autenticação adequados e registrados.
• Visitantes devem ser recebidos desde a portaria ou sala recepção pelo colaborador visitado. O visitante
deve ser orientado quanto às normas de segurança da informação e estar sempre acompanhado por
um colaborador quando dentro das instalações da DYNA. Os horários de entrada e saída das
instalações do visitante devem ser registrados.
Gerenciamento de identidade e acesso
A DYNA deve estabelecer norma específica com os requisitos de gestão de identidade e acesso às suas
informações, considerando:
• Somente usuários identificados e autenticados podem acessar os ativos de informação da DYNA, seja
de forma lógica ou física. As contas de usuários devem ser personalizadas e exclusivas e requisitos
específicos de criação, alteração, manutenção, desativação e exclusão são definidos.
• A identidade dos usuários deve ser realizada de forma segura, com procedimentos de autenticação e
controle de acesso, tanto para usuários em geral quanto para contas de acesso privilegiado,
harmonizados com o grau de proteção do ativo, como por exemplo, autenticação em múltiplo fator,
monitoramento, logout automático, autenticação biométrica entre outros. Uma norma complementar de
gerenciamento de identidade e acesso de forma segura deve ser implementada.
• Os direitos de uso dos ativos são mantidos pelo proprietário do ativo e ele é o responsável por garantir
os direitos de acesso ao ativo ou partes dele, no caso de sistemas. Para acesso aos servidores de
arquivos locais (p. ex., acesso a uma pasta da rede de um departamento), a operacionalização do
acesso é realizada pelo departamento de TI, sempre com a autorização do proprietário do ativo.
• A autorização, o acesso e o uso das informações dependem de prévia autorização do gestor do ativo
e deve ser limitado ao mínimo necessário, considerando as atribuições de cada usuário.
• Sempre que houver alteração nas atribuições de um usuário, o seu perfil de acesso às informações e
aos recursos computacionais deve ser revisto imediatamente, devendo ser suspenso, bloqueado ou
cancelado em caso de afastamento temporário ou definitivo da DYNA.
• Todos os usuários devem ser conscientizados do uso seguro de suas contas e credenciais de acesso.
Criptografia
• Os padrões de criptografia aceitáveis pela DYNA devem ser definidos.
• A DYNA deve estabelecer norma que especifica quando e onde recursos criptográficos devem ser
utilizados, quando do tratamento das informações, a fim de protegê-las. Requisitos de soberania devem
ser considerados no processamento externo da informação da DYNA
Operações de segurança
• Requisitos de segurança da informação para mudanças na DYNA devem ser definidos. Um
procedimento de gestão de mudanças deve ser implantado e as mudanças na DYNA são avaliadas
quanto ao seu impacto na segurança da informação.
• Os sistemas de TI devem ser avaliados de forma a determinar a necessidade da sua separação em
sistemas de desenvolvimento, teste e operacionais.
• Os sistemas e aplicações devem ser protegidos contra software malicioso através da implementação
de soluções antimalware e antivírus instalado em todas as máquinas, servidores e endpoints.
Periodicamente devem ser realizados treinamentos de conscientização e testes de phishing.
• Para transferência ou compartilhamento de informações na DYNA, devem ser determinados requisitos
relativos à proteção da informação e adoção de medidas adequadas, por exemplo, contra acesso não
autorizado e outras, implementados por normas complementares.
• O armazenamento de qualquer informação eletrônica, como arquivos, documentos, desenhos,
planilhas e outros, deve ser realizado na rede, para garantir seu backup.
• A rastreabilidade de eventos em caso de incidentes de segurança deve ser garantida. Os sistemas de
TI devem ser avaliados quanto à necessidade de registro e os requisitos relevantes de segurança para
os usuários e os logs de eventos devem ser registrados, armazenados e revisados regularmente.
• Um procedimento de análise regular de vulnerabilidades técnicas em sistemas deve ser definido, em
conjunto com a criação de plano de ação para sanar eventuais problemas encontrados.
• As auditorias de sistemas e serviços de TI devem ser realizadas de forma periódica, com requisitos
claramente definidos. Para sistemas críticos, devem ser estabelecidos requisitos adicionais, como, por
exemplo, a realização de testes de intrusão conduzidos por especialistas.
• Um procedimento de gestão, controle e segmentação de rede deve ser implantado, com mapeamento
da estrutura documentado, requisitos segurança e detecção contra ataques definidos bem como
indicadores de desempenho definidos, monitorados e documentados.
• É expressamente proibida a utilização, por qualquer pessoa ou meio, de programas, SWs, aplicativos
e similares, sem licença de uso válida, em dispositivos conectados a qualquer rede da DYNA,
especialmente a rede segregada para uso público ou de terceiros.
• O acesso a softwares peer-to-peer (p. ex.: Kazaa, E-Mule, U-Torrent, BitTorrent e afins) não serão
permitidos, bem como programas e plataformas de jogos de qualquer tipo, bem como acesso à internet
através de softwares que visem burlar controles (Ultrasurf) ou a sites de proxy.
• Um plano de contingência abrangente para garantia de continuidade dos serviços de TI deve ser criado,
com análise de vários cenários, SLAs apropriados e pontos e tempos de recuperação definidos.
• Um procedimento de backup das informações é implantado, com medidas robustas de proteção da
confidencialidade, disponibilidade e integridade dos dados e a capacidade de restauração é testada.
Aquisições de sistemas
• A verificação da segurança de softwares e sistemas quanto ao desenvolvimento, aquisição, extensão
ou atualização pelo departamento de TI deve ser implantado, com testes antes da operacionalização e
registrados.
• É proibida a baixa (download), instalação, utilização de programas ou aplicativos sem a validação e
homologação pelo departamento de TI.
• Um procedimento de remoção e devolução segura de ativos para serviços de TI é implantado.
Relacionamento com fornecedores
• A DYNA deve definir o nível adequado de segurança da informação junto aos seus fornecedores,
especificando as respectivas necessidades de proteção e os requisitos de segurança em conformidade
com as tarefas e a relevância para a DYNA, garantido por acordos contratuais. A DYNA pode exigir do
fornecedor provas de que o nível de segurança adequado é garantido.
• Um acordo de sigilo e confidencialidade com os fornecedores são determinados, cumpridos e
conhecido por todos envolvidos na transferência e compartilhamento de informações.
Compliance
• Um cadastro ou repositório de leis, normas, regulamentações e requisitos de clientes aplicáveis ao
negócio da DYNA, com relação à segurança da informação, deve ser definido.
• Uma análise de impacto destas regulamentações deve ser realizada de forma regular, atualizando esta
política e suas normas complementares se necessário.
• A proteção de dados pessoais, em conformidade com a LGPD – Lei Geral de Proteção de Dados
Pessoais deverá ser implementado, sendo o Encarregado pelo Tratamento de Dados Pessoais (DPO).
• As atividades da DYNA devem ser realizadas cumprindo-se as normas legais e regulamentares, dos
procedimentos e das boas práticas de conduta adequadas. O acompanhamento sistemático das
atividades desenvolvidas é realizado de forma a avaliar se os objetivos são alcançados e cumpridos,
assegurando que quaisquer desvios possam ser prontamente corrigidos.
RESPONSABILIDADES
Alta Administração
• A Aprovar formalmente a Política de Segurança da Informação (PSI), assegurando seu alinhamento
com os objetivos de negócio, a estratégia organizacional e o nível de risco aceitável.
• Comunicar seu apoio à PSI e a importância da segurança da informação para todos os colaboradores.
• Seguir as diretrizes da PSI em suas próprias ações e decisões, reforçando que a segurança é uma
responsabilidade de todos.
• Estabelecer qual o nível de risco de segurança da informação que a organização está disposta a aceitar
para atingir seus objetivos de negócio.
• Garantir os recursos suficientes para a implementação, manutenção e melhoria contínua dos controles
de segurança previstos na PSI (hardware, software, pessoal qualificado, tempo e treinamento).
• Acompanhar periodicamente o desempenho da segurança da informação, incidentes, não
conformidades e o status de implementação dos controles previstos na PSI.
• Realizar revisões periódicas da própria PSI para garantir que ela permaneça relevante, eficaz e
alinhada com as mudanças no ambiente de negócios, tecnologia e cenário de ameaças.
• Promover a conscientização e a cultura de segurança da informação na DYNA, apoiando e exigindo
programas de treinamento e conscientização.
Comitê de Segurança da Informação:
• Supervisionar a segurança da informação no âmbito da DYNA.
• Constituir grupos de trabalho para tratar de temas e propor soluções para segurança da informação.
• Elaborar normas específicas que complementem esta Política.
• Auxiliar na apuração de incidentes em segurança da informação.
• Avaliar e aprimorar continuamente esta Política e suas normas de procedimentos complementares,
visando a sua aderência aos objetivos da DYNA e às legislações aplicáveis vigentes.
• Dirimir eventuais dúvidas e deliberar sobre assuntos relativos à PSI;
• Apoiar a Alta Administração da DYNA no planejamento dos investimentos em segurança da informação
com base nas exigências estratégicas e legais.
Encarregado pelo Tratamento de Dados Pessoais (DPO)
• Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências no
âmbito da LGPD.
Conduzir o plano de tratamento de incidentes quando envolver dados pessoais.
• Receber comunicações da Autoridade Nacional de Proteção de Dados – ANPD e adotar providências.
• Orientar os colaboradores e os contratados da DYNA a respeito das práticas a serem tomadas em
relação à proteção de dados pessoais.
Gestor ou Proprietário do Ativo de Informação
• Garantir a segurança, definir e gerir os requisitos de segurança para os ativos de informação sob sua
responsabilidade, em conformidade com esta Política.
• Manter atualizado o inventário de ativos sob sua responsabilidade, concedendo e revogando acessos
aos ativos de sua responsabilidade.
• Comunicar ao CSI a ocorrência de incidentes de segurança da informação.
• Designar custodiante dos ativos de informação, quando aplicável, sendo que o custodiante deve
proteger e manter as informações, bem como controlar o acesso, conforme requisitos definidos pelo
Gestor do ativo e em conformidade com esta PSI.
Todos os Colaboradores
• Conhecer e compreender esta Política, participando dos treinamentos e se familiarizando com seu
conteúdo e os procedimentos de segurança da informação relevantes para suas funções.
• Proteger os ativos de informação, não divulgando as informações às quais têm acesso para pessoas
não autorizadas (confidencialidade), assegurar a precisão e a completude das informações, evitando
modificações não autorizadas (integridade) e evitar ações que possam comprometer a disponibilidade
dos sistemas e dados da DYNA (disponibilidade).
• Proteger suas credenciais de acesso, utilizar senhas fortes e não compartilhá-las, conhecer e respeitar
o acesso às áreas sensíveis.
• Integrar as práticas de segurança da informação em suas atividades diárias e rotinas de trabalho.
• Utilizar computadores, redes, softwares e outros recursos de TI da DYNA apenas para fins
profissionais, conforme a política de uso e seguir as políticas para o uso de dispositivos pessoais.
• Estar vigilante a qualquer atividade suspeita que possa indicar uma violação de segurança da
informação e reportá-la imediatamente pelo canal apropriado, mesmo que pareça insignificante.
Terceiros e Parceiros Comerciais da DYNA
• Tomar conhecimento e seguir as diretrizes estabelecidas pela DYNA em relação a segurança da
informação.
• Fornecer listas atualizadas da documentação dos ativos, licenças, acordos ou direitos relacionados aos
ativos de informação, objetos do contrato.
• Fornecer toda a documentação dos sistemas, produtos, serviços relacionados às suas atividades,
quando pedido.
PENALIDADES
• O evento de não atendimento a esta PSI e aos documentos relacionados, sejam eles de forma
acidental ou ilícita, deverá ser analisada pela CSI.
• O evento ou acidente de segurança resultante pode acarretar a instauração de procedimento
administrativo disciplinar para verificar os atos e as responsabilizações do(s) envolvido(s), podendo
ocorrer a aplicação de penalidades previstas incluindo a legislação vigente (artigo 482 da CLT –
Consolidação das Leis do Trabalho), como advertência verbal ou escrita, suspensão e dispensa por
justa causa.
REVISÃO
• Tanto esta PSI quanto as normas e procedimentos complementares deverão ser revistas e
atualizadas periodicamente, sempre que algum fato relevante ou evento motive sua revisão
antecipada, conforme análise e decisão da diretoria.
APROVAÇÃO
Este procedimento foi aprovado em 13/02/2026
Elaborado por: CSI – Comitê de Segurança da Informação.