1. INTRODUÇÃO E PROPÓSITO

1.1. Objetivo

Definir as diretrizes e regras de segurança da informação a serem seguidas por todos os colaboradores, fornecedores e parceiros que interagem, desenvolvem, operam ou administram o website empresarial da Viação Belém Novo. O objetivo principal é proteger os ativos de informação, garantindo a Confidencialidade, Integridade e Disponibilidade dos dados e serviços.

1.2. Escopo

Esta Política se aplica a todos os ativos de informação, sistemas, dados e infraestrutura de TI relacionados ao website principal da Viação Belém Novo, incluindo servidores, banco de dados, códigos-fonte, plataformas de hospedagem e todos os dados de usuários e clientes coletados, processados e armazenados através do site.

1.3. Princípios Fundamentais

A segurança da informação do website deve se basear nos seguintes pilares:

Confidencialidade: Garantia de que a informação é acessível apenas por aqueles autorizados.

Integridade: Garantia de que a informação é precisa e completa, e protegida contra modificação não autorizada.

Disponibilidade: Garantia de que a informação e os sistemas (website) estão acessíveis e operacionais quando necessários.

Conformidade: Cumprimento de todas as leis e regulamentos aplicáveis, em especial a Lei Geral de Proteção de Dados (LGPD) no Brasil, se houver tratamento de dados pessoais.

2. RESPONSABILIDADES

2.1. Alta Direção

Garantir que a PSI seja estabelecida, implementada, mantida e revisada, e que recursos adequados sejam fornecidos.

2.2. Equipe de TI / Desenvolvimento / Administradores do Site

Implementar e manter as medidas de segurança técnicas definidas nesta Política.

Garantir que todas as atualizações de segurança e patches sejam aplicados em tempo hábil.

Monitorar e responder a incidentes de segurança.

Realizar backups periódicos e testes de recuperação.

2.3. Colaboradores e Usuários com Acesso Administrativo

Cumprir integralmente esta Política e quaisquer procedimentos relacionados.

Reportar imediatamente qualquer suspeita de vulnerabilidade ou incidente de segurança.

Utilizar acessos e credenciais apenas para fins profissionais autorizados.

3. DIRETRIZES DE SEGURANÇA TÉCNICA (WEBSITE)

3.1. Controle de Acesso e Autenticação

O acesso ao ambiente de hospedagem, banco de dados e sistemas de gerenciamento de conteúdo (CMS) deve ser concedido apenas a colaboradores autorizados, baseado no princípio da necessidade de saber.

Todas as contas administrativas e de acesso privilegiado devem utilizar senhas fortes (combinação de letras maiúsculas, minúsculas, números e caracteres especiais, com no mínimo 8 caracteres) e ser alteradas periodicamente.

A Autenticação de Múltiplos Fatores (MFA) deve ser implementada para todos os acessos administrativos críticos.

Não é permitido o compartilhamento de credenciais de acesso.

3.2. Segurança da Rede e Comunicações

Todo o tráfego de dados entre o usuário e o website deve ser criptografado utilizando o protocolo HTTPS/SSL/TLS.

Devem ser utilizados sistemas de Firewall de Aplicação Web (WAF) para proteger contra ataques comuns, como Cross-Site Scripting (XSS), SQL Injection e outras vulnerabilidades do OWASP Top 10.

Mecanismos de mitigação de ataques de Negação de Serviço Distribuído (DDoS) devem ser implementados.

3.3. Desenvolvimento Seguro

O código-fonte do website deve ser submetido a revisões de segurança e testes de vulnerabilidade regulares.

Todas as entradas de dados do usuário devem ser validadas e sanitizadas para prevenir injeções de código.

Bibliotecas, frameworks e componentes de terceiros devem ser mantidos atualizados e ter sua segurança verificada.

3.4. Gestão de Vulnerabilidades e Patch Management

Deve ser estabelecido um processo contínuo de varredura e gerenciamento de vulnerabilidades.

Todas as vulnerabilidades de alto risco no CMS, plugins, sistema operacional do servidor e outras dependências devem ser corrigidas (aplicação de patches) imediatamente.

3.5. Backups e Continuidade de Negócios

Backups completos dos dados e da estrutura do website devem ser realizados, no mínimo, [definir periodicidade, ex: diariamente ou semanalmente].

Os backups devem ser armazenados de forma segura, preferencialmente fora do ambiente de produção (off-site ou em nuvem com criptografia).

Testes de recuperação e restauração do website devem ser realizados periodicamente para garantir a eficácia dos backups.

4. TRATAMENTO E PROTEÇÃO DE DADOS PESSOAIS (LGPD)

A coleta, processamento, armazenamento e descarte de dados pessoais através do website (formulários, cadastros, cookies) deve estar em total conformidade com a LGPD e a Viação Belém Novo  deve manter uma Política de Privacidade específica acessível aos usuários.

Dados pessoais sensíveis (se coletados) devem ser protegidos com o mais alto nível de criptografia, tanto em trânsito quanto em repouso.

Os dados de clientes e usuários devem ser utilizados apenas para os propósitos informados e com o consentimento legal apropriado.

5. MONITORAMENTO E GESTÃO DE INCIDENTES

Os logs de atividades do website, incluindo acesso administrativo e tentativas de login, devem ser coletados, armazenados de forma segura e revisados regularmente.

Deve haver um Plano de Resposta a Incidentes de Segurança documentado, definindo os procedimentos a serem seguidos em caso de violação de dados ou comprometimento do site.

Qualquer incidente ou suspeita de incidente deve ser reportado imediatamente à área de Tecnologia da Informação.

6. REVISÃO DA POLÍTICA

Esta Política será revisada anualmente ou sempre que houver mudanças significativas no ambiente tecnológico, nos requisitos legais ou na estrutura do website.