OBJETIVO
• Estabelecer diretrizes que permitam aos colaboradores e clientes a seguirem padrões de comportamento relacionados à segurança da informação adequados às necessidades de negócio e de proteção legal da empresa e do indivíduo.

• Garantir a continuidade das operações de negócio e minimizar danos financeiros ou reputacionais em caso de incidentes de segurança.

• Nortear a definição de normas e procedimentos específicos de segurança da informação, bem como a implementação de controles e processos para seu atendimento.
• Proteger a informação contra acessos não autorizados, vazamentos, alterações ou destruições acidentais/dolosas.
• Cumprir as leis e regulamentos aplicáveis, como a LGPD (Lei Geral de Proteção de Dados) e outras regulamentações específicas do setor.

PRINCÍPIOS DA PSI
• Confidencialidade: as informações devem ser acessadas somente por pessoas autorizadas, conforme a classificação de Níveis de Confidencialidade. Dados sensíveis (ex.: dados pessoais ou estratégicos) devem ser protegidos com controle rigoroso de acessos.
• Integridade: os ativos devem ser protegidos contra alterações não autorizadas, acidentais ou dolosas.
Mudanças nos sistemas ou registros devem ser rastreáveis por meio de auditorias e logs.
• Disponibilidade: sistemas e informações essenciais às operações do negócio devem ser sempre disponíveis, com backups regulares e um plano de recuperação de desastres testado regularmente.
• Gerenciamento de Riscos: a DYNA adotará um processo contínuo de gerenciamento de riscos para identificar, avaliar e mitigar ameaças à segurança da informação.

APLICAÇÃO
• A presente Política aplica-se a:
– Todos que possam acessar as áreas, equipamentos, informações, arquivos, redes, sistemas e dados de propriedade da DYNA, como alta administração, diretores, gerentes, coordenadores, colaboradores próprios e terceirizados, estagiários, menores aprendizes, parceiros comerciais que atuam em nome da DYNA, parceiros de negócios e fornecedores que, no âmbito dessa relação, deverão observar as presentes regras e recomendações para quaisquer operações que possam impactar na segurança das informações na DYNA.
– Todos os ativos de informação, incluindo dados digitais, documentos físicos, sistemas, dispositivos e infraestruturas de TI.
• Esta política dá ciência a cada colaborador de que os ambientes, sistemas, computadores, smartphones e redes da empresa poderão ser monitorados e gravados, com prévia informação, conforme previsto na legislação nacional.
• Cada colaborador se compromete também a se manter atualizado em relação a esta PSI e aos procedimentos e normas relacionadas, buscando orientação do seu gestor, GQ ou TI sempre que não estiver absolutamente seguro quanto ao tratamento seguro das informações a que lhe forem confiadas.

• O não cumprimento das disposições ora previstas sujeitará o infrator às sanções previstas fixadas pelo Comitê de Segurança de Informação (CSI) previsto nesta Política, sem prejuízo das medidas previstas em lei, caso se aplique.

NORMAS COMPLEMENTARES
• Esta Política de Segurança da Informação deverá ser implementada na DYNA também por meio de normas complementares e procedimentos específicos, obrigatórios para todos os colaboradores, independentemente do nível hierárquico ou função na empresa, bem como de vínculo empregatício ou prestação de serviço.

DIRETRIZES
Diretrizes gerais
• Um Comitê de Segurança da Informação (CSI) é constituído com membros indicados pela alta administração da DYNA, tendo como principal responsabilidade a gestão da segurança da informação na empresa. Funções e responsabilidades pela segurança da informação são definidas e atribuídas.
• Além destas diretrizes, DYNA também se apoia nos melhores procedimentos e práticas de segurança da informação, conforme documentos complementares, tais como procedimentos, instruções de trabalho, demais políticas e normas.
• Por meio de verificações de conformidade periódicas, o CSI avalia o cumprimento desta política e demais documentos complementares.

Gestão de ativos de informação e suporte
Os ativos devem:
• Ser inventariados, com seus gestores ou proprietários e custodiantes identificados, ter a sua a entrada e saída nas dependências da DYNA autorizadas e registradas por autoridade competente.
• Ser passíveis de monitoramento e ter seu uso investigado quando houver indícios de quebra de segurança, por meio de mecanismos que permitam a rastreabilidade do uso desses ativos.
• Ter regulamentadas políticas e/ou procedimentos específicos quanto à sua utilização e manuseio.
• Ser utilizados estritamente dentro do seu propósito, sendo vedado seu uso para fins particulares ou de terceiros, entretenimento, veiculação de opiniões político partidárias, religiosas, discriminatórias e afins.
• A DYNA estabelece critérios de classificação da informação e seu tratamento/manuseio, durante o seu ciclo de vida, de acordo com o nível de proteção requerido quanto a sua confidencialidade e criticidade e legislação em vigor.
• Os ativos de suporte têm seu manuseio harmonizados com o grau de proteção dos ativos de informação que suportam. Recursos tecnológicos, sistemas e as instalações de infraestrutura devem ser protegidos contra indisponibilidade, acessos indevidos, falhas, bem como perdas, danos, furtos, roubos e interrupções não programadas.
• O acesso dos usuários aos ativos de informação e sua utilização deve ser autorizado pelo proprietário do ativo. Os eventos de acesso são passíveis de registros e auditoria periódica.

Gestão de riscos
• O gestor dos ativos de informação deve estabelecer processos de Avaliação de Riscos de Segurança da Informação que possibilitem identificar ameaças e reduzir vulnerabilidades dos ativos de informação, assim como reduzir os impactos de eventuais incidentes com os mesmos.
• A Avaliação de Riscos é um processo contínuo e deve ser aplicado na implementação e operação da Gestão de Segurança da Informação, levando em consideração o planejamento, execução, análise crítica e melhoria da SI na DYNA.

Avaliações
• Esta política e suas normas complementares, devem ter suas aplicações verificadas através de análises críticas regulares (auditorias), tanto internamente como por entidades externas independentes.
• O resultado das verificações, auditorias e análises deve ser registrado e seus aspectos críticos devem ser reportados para à direção da DYNA e tratados.
• Um cronograma de auditoria deve ser definido, cobrindo todo o escopo.

Gerenciamento de incidentes e crise
• A DYNA estabelecerá um plano de gerenciamento de incidentes de segurança da informação, incluindo a contenção e mitigação imediata do impacto, investigação para identificar causa raiz e registro e lições aprendidas para evitar reincidências.
• Todos os incidentes devem ser relatados imediatamente à equipe responsável, conforme plano de tratamento de incidentes. O canal de comunicação deve ser de conhecimento de todos.
• O Comité de Segurança da Informação pode ser acionado para auxiliar no tratamento do incidente.

Recursos humanos
• As funções e cargos sensíveis com relação à segurança da informação devem ser identificados e um processo de contratação para estas funções, com verificação de identidade, deve ser definido.

Controles de perfis e permissão de acessos aos ativos de informação devem ser implantados.
• Os colaboradores e usuários de ativos devem ter ciência formal das ameaças e preocupações relativas ao tratamento seguro da informação e de suas responsabilidades e obrigações no âmbito desta PSI e as consequências no caso de descumprimento.
• Processos permanentes de conscientização, capacitação e sensibilização em segurança da informação que alcancem todos os usuários de ativos da DYNA devem ser estabelecidos, de acordo com seu relacionamento e atribuições na organização.

Treinamento de pessoal
• Devem ser realizados treinamento de segurança da informação para todos colaboradores atuais e novos, evidenciando a sua participação.
• Um treinamento de reforço deve ser realizado toda vez que for identificada uma fragilidade em alguma norma ou procedimento complementar de segurança da informação.

Segurança física
• As áreas sensíveis devem ser identificadas e um conceito de zonas de segurança, bem como os requisitos para os diferentes tipos de tratamento ou manuseio de ativos, devem ser estabelecidos, considerando o grau de proteção conforme a classificação dos ativos tratados.
• Os requisitos de manuseio dos ativos devem ser estendidos aos ativos de suporte, durante o seu ciclo de vida e também aos dispositivos móveis, principalmente os que armazenam informações.
• O acesso físico às instalações da DYNA, bem como das áreas sensíveis, deve ser controlado por sistemas de autenticação adequados e registrados.
• Visitantes devem ser recebidos desde a portaria ou sala recepção pelo colaborador visitado. O  visitante deve ser orientado quanto às normas de segurança da informação e estar sempre acompanhado por um colaborador quando dentro das instalações da DYNA. Os horários de entrada e saída das instalações do visitante devem ser registrados.

Gerenciamento de identidade e acesso
A DYNA deve estabelecer norma específica com os requisitos de gestão de identidade e acesso às suas informações, considerando:
• Somente usuários identificados e autenticados podem acessar os ativos de informação da DYNA, seja de forma lógica ou física. As contas de usuários devem ser personalizadas e exclusivas e requisitos específicos de criação, alteração, manutenção, desativação e exclusão são definidos.
• A identidade dos usuários deve ser realizada de forma segura, com procedimentos de autenticação e controle de acesso, tanto para usuários em geral quanto para contas de acesso privilegiado, harmonizados com o grau de proteção do ativo, como por exemplo, autenticação em múltiplo fator, monitoramento, logout automático, autenticação biométrica entre outros. Uma norma complementar de gerenciamento de identidade e acesso de forma segura deve ser implementada.
• Os direitos de uso dos ativos são mantidos pelo proprietário do ativo e ele é o responsável por garantir os direitos de acesso ao ativo ou partes dele, no caso de sistemas. Para acesso aos servidores de arquivos locais (p. ex., acesso a uma pasta da rede de um departamento), a operacionalização do acesso é realizada pelo departamento de TI, sempre com a autorização do proprietário do ativo.
• A autorização, o acesso e o uso das informações dependem de prévia autorização do gestor do ativo e deve ser limitado ao mínimo necessário, considerando as atribuições de cada usuário.
• Sempre que houver alteração nas atribuições de um usuário, o seu perfil de acesso às informações e aos recursos computacionais deve ser revisto imediatamente, devendo ser suspenso, bloqueado ou cancelado em caso de afastamento temporário ou definitivo da DYNA.
• Todos os usuários devem ser conscientizados do uso seguro de suas contas e credenciais de acesso.

Criptografia
• Os padrões de criptografia aceitáveis pela DYNA devem ser definidos.
• A DYNA deve estabelecer norma que especifica quando e onde recursos criptográficos devem ser utilizados, quando do tratamento das informações, a fim de protegê-las. Requisitos de soberania devem ser considerados no processamento externo da informação da DYNA

Operações de segurança
• Requisitos de segurança da informação para mudanças na DYNA devem ser definidos. Um procedimento de gestão de mudanças deve ser implantado e as mudanças na DYNA são avaliadas quanto ao seu impacto na segurança da informação.

Os sistemas de TI devem ser avaliados de forma a determinar a necessidade da sua separação em sistemas de desenvolvimento, teste e operacionais.
• Os sistemas e aplicações devem ser protegidos contra software malicioso através da implementação de soluções antimalware e antivírus instalado em todas as máquinas, servidores e endpoints. Periodicamente devem ser realizados treinamentos de conscientização e testes de phishing.
• Para transferência ou compartilhamento de informações na DYNA, devem ser determinados requisitos relativos à proteção da informação e adoção de medidas adequadas, por exemplo, contra acesso não autorizado e outras, implementados por normas complementares.
• O armazenamento de qualquer informação eletrônica, como arquivos, documentos, desenhos, planilhas e outros, deve ser realizado na rede, para garantir seu backup.
• A rastreabilidade de eventos em caso de incidentes de segurança deve ser garantida. Os sistemas de TI devem ser avaliados quanto à necessidade de registro e os requisitos relevantes de segurança para os usuários e os logs de eventos devem ser registrados, armazenados e revisados regularmente.
• Um procedimento de análise regular de vulnerabilidades técnicas em sistemas deve ser definido, em conjunto com a criação de plano de ação para sanar eventuais problemas encontrados.
• As auditorias de sistemas e serviços de TI devem ser realizadas de forma periódica, com requisitos claramente definidos. Para sistemas críticos, devem ser estabelecidos requisitos adicionais, como, por exemplo, a realização de testes de intrusão conduzidos por especialistas.
• Um procedimento de gestão, controle e segmentação de rede deve ser implantado, com mapeamento da estrutura documentado, requisitos segurança e detecção contra ataques definidos bem como indicadores de desempenho definidos, monitorados e documentados.
• É expressamente proibida a utilização, por qualquer pessoa ou meio, de programas, SWs, aplicativos e similares, sem licença de uso válida, em dispositivos conectados a qualquer rede da DYNA, especialmente a rede segregada para uso público ou de terceiros.
• O acesso a softwares peer to-peer (p. ex.: Kazaa, E-Mule, U-Torrent, BitTorrent e afins) não serão permitidos, bem como programas e plataformas de jogos de qualquer tipo, bem como acesso à internet através de softwares que visem burlar controles (Ultrasurf) ou a sites de proxy.
• Um plano de contingência abrangente para garantia de continuidade dos serviços de TI deve ser criado, com análise de vários cenários, SLAs apropriados e pontos e tempos de recuperação definidos.
• Um procedimento de backup das informações é implantado, com medidas robustas de proteção da confidencialidade, disponibilidade e integridade dos dados e a capacidade de restauração é testada.

Aquisições de sistemas
• A verificação da segurança de softwares e sistemas quanto ao desenvolvimento, aquisição, extensão ou atualização pelo departamento de TI deve ser implantado, com testes antes da operacionalização e registrados.
• É proibida a baixa (download), instalação, utilização de programas ou aplicativos sem a validação e homologação pelo departamento de TI.
• Um procedimento de remoção e devolução segura de ativos para serviços de TI é implantado.

Relacionamento com fornecedores
• A DYNA deve definir o nível adequado de segurança da informação junto aos seus fornecedores, especificando as respectivas necessidades de proteção e os requisitos de segurança em conformidade com as tarefas e a relevância para a DYNA, garantido por acordos contratuais. A DYNA pode exigir do fornecedor provas de que o nível de segurança adequado é garantido.
• Um acordo de sigilo e confidencialidade com os fornecedores são determinados, cumpridos e conhecido por todos envolvidos na transferência e compartilhamento de informações.

Compliance
• Um cadastro ou repositório de leis, normas, regulamentações e requisitos de clientes aplicáveis ao negócio da DYNA, com relação à segurança da informação, deve ser definido.
• Uma análise de impacto destas regulamentações deve ser realizada de forma regular, atualizando esta política e suas normas complementares se necessário.
• A proteção de dados pessoais, em conformidade com a LGPD – Lei Geral de Proteção de Dados Pessoais deverá ser implementado, sendo o Encarregado pelo Tratamento de Dados Pessoais (DPO).
• As atividades da DYNA devem ser realizadas cumprindo-se as normas legais e regulamentares, dos procedimentos e das boas práticas de conduta adequadas. O acompanhamento sistemático das atividades desenvolvidas é realizado de forma a avaliar se os objetivos são alcançados e cumpridos, assegurando que quaisquer desvios possam ser prontamente corrigidos.

RESPONSABILIDADES

Alta Administração
• A Aprovar formalmente a Política de Segurança da Informação (PSI), assegurando seu alinhamento com os objetivos de negócio, a estratégia organizacional e o nível de risco aceitável.
• Comunicar seu apoio à PSI e a importância da segurança da informação para todos os colaboradores.
• Seguir as diretrizes da PSI em suas próprias ações e decisões, reforçando que a segurança é uma responsabilidade de todos.
• Estabelecer qual o nível de risco de segurança da informação que a organização está disposta a aceitar para atingir seus objetivos de negócio.
• Garantir os recursos suficientes para a implementação, manutenção e melhoria contínua dos controles de segurança previstos na PSI (hardware, software, pessoal qualificado, tempo e treinamento).
• Acompanhar periodicamente o desempenho da segurança da informação, incidentes, não conformidades e o status de implementação dos controles previstos na PSI.
• Realizar revisões periódicas da própria PSI para garantir que ela permaneça relevante, eficaz e alinhada com as mudanças no ambiente de negócios, tecnologia e cenário de ameaças.
• Promover a conscientização e a cultura de segurança da informação na DYNA, apoiando e exigindo programas de treinamento e conscientização.

Comitê de Segurança da Informação:
• Supervisionar a segurança da informação no âmbito da DYNA.

• Constituir grupos de trabalho para tratar de temas e propor soluções para segurança da informação.
• Elaborar normas específicas que complementem esta Política.
• Auxiliar na apuração de incidentes em segurança da informação.
• Avaliar e aprimorar continuamente esta Política e suas normas de procedimentos complementares, visando a sua aderência aos objetivos da DYNA e às legislações aplicáveis vigentes.
• Dirimir eventuais dúvidas e deliberar sobre assuntos relativos à PSI;
• Apoiar a Alta Administração da DYNA no planejamento dos investimentos em segurança da informação com base nas exigências estratégicas e legais.

Encarregado pelo Tratamento de Dados Pessoais (DPO)
• Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências no âmbito da LGPD.
• Conduzir o plano de tratamento de incidentes quando envolver dados pessoais.
• Receber comunicações da Autoridade Nacional de Proteção de Dados – ANPD e adotar providências.
• Orientar os colaboradores e os contratados da DYNA a respeito das práticas a serem tomadas em relação à proteção de dados pessoais.

Gestor ou Proprietário do Ativo de Informação
• Garantir a segurança, definir e gerir os requisitos de segurança para os ativos de informação sob sua responsabilidade, em conformidade com esta Política.
• Manter atualizado o inventário de ativos sob sua responsabilidade, concedendo e revogando acessos aos ativos de sua responsabilidade.
• Comunicar ao CSI a ocorrência de incidentes de segurança da informação.
• Designar custodiante dos ativos de informação, quando aplicável, sendo que o custodiante deve proteger e manter as informações, bem como controlar o acesso, conforme requisitos definidos pelo Gestor do ativo e em conformidade com esta PSI.

Todos os Colaboradores
• Conhecer e compreender esta Política, participando dos treinamentos e se familiarizando com seu conteúdo e os procedimentos de segurança da informação relevantes para suas funções.
• Proteger os ativos de informação, não divulgando as informações às quais têm acesso para pessoas não autorizadas (confidencialidade), assegurar a precisão e a completude das informações, evitando modificações não autorizadas (integridade) e evitar ações que possam comprometer a disponibilidade dos sistemas e dados da DYNA (disponibilidade).
• Proteger suas credenciais de acesso, utilizar senhas fortes e não compartilhá-las, conhecer e respeitar
o acesso às áreas sensíveis.
• Integrar as práticas de segurança da informação em suas atividades diárias e rotinas de trabalho.
• Utilizar computadores, redes, softwares e outros recursos de TI da DYNA apenas para fins profissionais, conforme a política de uso e seguir as políticas para o uso de dispositivos pessoais.
• Estar vigilante a qualquer atividade suspeita que possa indicar uma violação de segurança da informação e reportá-la imediatamente pelo canal apropriado, mesmo que pareça insignificante.

Terceiros e Parceiros Comerciais da DYNA
• Tomar conhecimento e seguir as diretrizes estabelecidas pela DYNA em relação a segurança da informação.
• Fornecer listas atualizadas da documentação dos ativos, licenças, acordos ou direitos relacionados aos ativos de informação, objetos do contrato.
• Fornecer toda a documentação dos sistemas, produtos, serviços relacionados às suas atividades, quando pedido.

PENALIDADES
• O evento de não atendimento a esta PSI e aos documentos relacionados, sejam eles de forma acidental ou ilícita, deverá ser analisada pela CSI.
• O evento ou acidente de segurança resultante pode acarretar a instauração de procedimento administrativo disciplinar para verificar os atos e as responsabilizações do(s) envolvido(s), podendo ocorrer a aplicação de penalidades previstas incluindo a legislação vigente (artigo 482 da CLT – Consolidação das Leis do Trabalho), como advertência verbal ou escrita, suspensão e dispensa por justa causa.

REVISÃO
• Tanto esta PSI quanto as normas e procedimentos complementares deverão ser revistas e atualizadas periodicamente, sempre que algum fato relevante ou evento motive sua revisão antecipada, conforme análise e decisão da diretoria.

APROVAÇÃO
Este procedimento foi aprovado em 13/02/2026 Elaborado por: CSI – Comitê de Segurança da Informação.