Legal
Política de Segurança da Informação
Português: Política de Segurança da Informação (PSI) Inglês: Information Security Policy (ISP) ou Information Security Policy
Uma Política de Segurança da Informação é o documento que estabelece princípios, diretrizes, responsabilidades e controles para proteger os ativos de informação de uma organização.
Seu objetivo é garantir a tríade da segurança da informação:
Confidencialidade (Confidentiality) – acesso apenas por pessoas autorizadas.
Integridade (Integrity) – informações corretas e não alteradas indevidamente.
Disponibilidade (Availability) – acesso quando necessário.
Termos Relacionados (PT-BR ↔ EN)
Estrutura Típica de uma PSI
- Objetivo
Define o propósito da política.
Exemplo:
Estabelecer diretrizes para proteger informações corporativas contra acessos não autorizados, alterações indevidas, divulgação ou destruição.
- Escopo
Define quem e o que está coberto.
Exemplos:
- Colaboradores
- Prestadores de serviço
- Terceiros
- Sistemas corporativos
Infraestrutura em nuvem
- Papéis e Responsabilidades
Controles Comuns
Controle de Acesso
- MFA obrigatório
- Revisão periódica de acessos
- Gestão de identidades (IAM)
Gestão de Senhas
- Complexidade mínima
- Rotação quando aplicável
- Armazenamento seguro
Classificação da Informação
Segurança de Dispositivos
- Criptografia de disco
- Antivírus/EDR
- Atualizações de segurança
Segurança em Nuvem
- Configuração segura
- Monitoramento contínuo
- Controle de permissões
Normas e Certificações Relacionadas
Segurança em Fornecedores de IA e SaaS
Ao avaliar fornecedores como OpenAI, Anthropic, Google ou Microsoft, a Política de Segurança da Informação normalmente é analisada junto com:
- Política de Privacidade (Privacy Policy)
- DPA (Data Processing Agreement)
- Relatórios SOC 2
- Certificações ISO 27001
- Procedimentos de resposta a incidentes
- Políticas de retenção de dados
- Controles de acesso e criptografia
- Gestão de vulnerabilidades
Cláusula Exemplo
"Todos os colaboradores e terceiros autorizados devem proteger as informações da organização de acordo com os requisitos de confidencialidade, integridade e disponibilidade definidos nesta Política de Segurança da Informação."
Tradução corporativa em inglês:
"All employees and authorized third parties shall protect organizational information in accordance with the confidentiality, integrity, and availability requirements established by this Information Security Policy."
Siglas Comuns
A Política de Segurança da Informação é um dos documentos centrais de governança corporativa e frequentemente faz parte de processos de due diligence, auditorias, certificações ISO 27001, avaliações de fornecedores e contratos empresariais.