Política de Segurança da Informação

1. OBJETIVO

A PSI é uma declaração formal acerca do nosso comprometimento com a proteção dos ativos de informações de nossa propriedade e/ou sob nossa guarda, devendo ser cumprida e respeitada por todos os nossos membros. 

A AgileProcess, que lida com dados sensíveis de clientes, fornecedores e colaboradores, tem como objetivo a implantação da PSI para garantir a segurança dos dados das quais são de sua responsabilidade, que as informações provenientes de fontes externas (fornecedores e clientes) que trafegam pelo sistema desenvolvido e fornecido pela AgileProcess, estejam protegidas, evitando qualquer intercepção, fraude ou perda.

Além de prover a conscientização interna, para que as normas sejam seguidas por todos seus membros, garantindo a confidencialidade, integridade e disponibilidade das informações, não somente de clientes e fornecedores, porém dos próprios colaboradores da companhia.

2. DEFINIÇÕES

2.1.  Ativos de Informação

Conforme definição da norma ABNT NBR ISO/IEC 27002:2013, “A informação é um ativo que, como qualquer outro ativo importante, é essencial para os negócios de uma organização e, consequentemente, necessita ser adequadamente protegida. […] A informação pode existir em diversas formas. Ela pode ser impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou por meios eletrônicos, apresentada em filmes ou falada em conversas. Seja qual for a forma de apresentação ou o meio através do qual a informação é compartilhada ou armazenada, é recomendado que ela seja sempre protegida adequadamente.”

Assim, para efeitos desta Política de Segurança da Informação, são considerados os seguintes Ativos de Informação:

Recursos de Tecnologia da Informação;
Informações pertencentes, concedidas ou relacionadas aos clientes;
Informações relacionadas aos colaboradores da AgileProcess;
Informações pertencentes ou relacionadas aos fornecedores;
Estratégias e decisões da alta administração;
Informações contábeis da AgileProcess; e
Processos internos da AgileProcess.

2.2. Princípios Básicos da Segurança da Informação

Princípio Básicos

Integridade: garantia de que a informação seja mantida em seu estado original, visando protegê-la, na guarda ou transmissão, contra alterações indevidas, intencionais ou acidentais.

Confidencialidade: garantia de que o acesso à informação não estará disponível ou será divulgada a indivíduos, entidades ou aplicativos sem autorização.

Disponibilidade: garantia de que os usuários autorizados tenham acesso à informação quando necessário.

Resiliência: garantia de que o sistema estará disponível para acesso das informações pelo tempo necessário, utilizando de redundância e escalabilidade sempre que possível.

Princípios Complementares

Autenticidade: Garantia da identidade do remetente da informação. Pela autenticidade garante-se que a informação é proveniente da fonte anunciada, sem sofrer alteração durante o envio.

Legalidade: Garantir que o uso e manuseio das informações seguem as leis vigentes no país (Lei de crimes cibernéticos – Lei 12.737/2012, Marco Civil da Internet – Lei 12.965/2014 e LGPD LEI Nº 13.709/2018).

Não repúdio: Garantia de que o autor não negue ter criado e assinado determinado arquivo ou documento.

2.3. Incidentes de Segurança da Informação

Um incidente de segurança pode ser definido como qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança de Recursos de Tecnologia da Informação (“RTIs”) levando a perda de um dos princípios da Segurança da Informação, mencionados anteriormente. São exemplos de incidentes de segurança:

* Tentativas de ganhar acesso não autorizado a sistemas ou dados lógicos ou físicos;
* Indisponibilidade de informações e dados para a execução de rotinas e processos;
* Ataques de negação de serviço;
* Exploração de vulnerabilidades de protocolos;
* Modificações em um sistema, sem conhecimento, instruções ou consentimento prévio de um gestor; e
* Desrespeito à política de segurança ou à política de uso aceitável de uma empresa ou provedor de acesso.

a.     Comunicação de Incidentes:

A AgileProcess deve divulgar e incentivar seus colaboradores a reportarem imediatamente os casos de incidentes de segurança da informação, podendo fazer de modo formal ou com uso do recurso de denúncia anônima.

b.     Tentativa de Burla:

Qualquer tentativa de burla às diretrizes e controles estabelecidos pela AgileProcess, quando constatada, deve ser tratada como uma violação.

2.4.   Sistema de Gestão da Segurança da Informação

O Sistema de Gestão da Segurança da Informação (SGSI) deverá fazer parte do sistema de gestão global da AgileProcess, baseada em uma aproximação de risco empresarial, para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar a Segurança da Informação.

a.     Estrutura

A estrutura apresentada pela ISO 27.001 para um sistema de gestão da segurança da informação, leva em consideração o contexto em que a organização está situada, bem como as expectativas e requisitos passados pela Liderança e pela equipe de apoio que irá participar da execução do sistema.

O ciclo da segurança da informação inicia em seu planejamento, passa por sua operação, avaliação do desempenho do sistema e por fim sua melhoria contínua. Desta forma, liderança e apoio retornam a segurança da informação gerenciada.

Este ciclo de planejamento, operação, avaliação de desempenho e melhoria, que se repete ao longo do tempo, junto com a liderança e o apoio é a garantia da efetividade para a segurança da informação da AgileProcess.

O Sistema de Gestão para a Segurança da Informação abrange as esferas da Tecnologia (controles de segurança em ativos tecnológicos e o uso seguro da tecnologia), Processos, Ambientes (acessos físicos e proteção ao ambiente de trabalho) e Pessoas (conscientização de pessoas no tratamento e uso seguro das informações).

b.     Detalhamento

A Norma ABNT NBR ISO/IEC 27.002 Código de Práticas para Controles de Segurança da Informação fornece diretrizes de práticas de segurança da informação para as organizações, incluindo a seleção, a implementação e o gerenciamento de controles, levando em consideração os ambientes e os riscos da segurança da informação da organização.

2.5.    Classificação da informação

A AgileProcess deve assegurar que seus colaboradores respeitem os controles conforme a classificação da informação, através da implementação de ferramentas e formalização de processos conforme a classificação estabelecida. Por fim, a AgileProcess deve orientar seus colaboradores quanto à inserção, classificação, rotulação, publicação, compartilhamento e manuseio de ativos, conforme consta na ISO 27.001 A.8.1 e A.8.2.

2.6.     Controle de Acessos

A AgileProcess deve controlar o acesso físico e lógico, às suas dependências e aos seus RTIs. Para isso, ela deve garantir que cada colaborador possua uma credencial de uso pessoal, intransferível e de conhecimento exclusivo. Os acessos físicos aos ambientes controlados e lógicos às informações e recursos computacionais devem ser autorizados pelos gestores ou diretoria.

2.7.     Análise dos RTIs

A AgileProcess deve analisar, periodicamente, seus processos e RTIs, assegurando que estes estejam documentados e com seus gestores identificados e cientes, assim como suas vulnerabilidades e ameaças de segurança identificadas.

a.      Ambientes Lógicos:

Deve ser assegurado que os ambientes de sistemas e processos que suportam os RTIs sejam confiáveis, íntegros e disponíveis, a quem deles necessite para execução de suas atividades profissionais.

b.     Ambientes Físicos:

A AgileProcess deve possuir o controle de acesso nos perímetros de segurança delimitados para garantir a proteção das áreas, bem como controles e registros apropriados para assegurar o acesso somente aos colaboradores autorizados e aos RTIs homologados.

2.8.    Monitoramento

A AgileProcess deve comunicar os seus colaboradores sobre o monitoramento, inclusive de forma remota, de todo acesso e uso de suas informações, seus RTIs, além de seus ambientes, físicos e lógicos, para verificação dos controles implantados, proteção de seu patrimônio e reputação, rastreando eventos críticos e evidenciando possíveis incidentes.

O Correio Eletrônico e o acesso à Internet são recursos corporativos, instalados e mantidos para o atendimento dos objetivos de negócios da AgileProcess. Os acessos e históricos são gravados, podendo ser monitorados, portanto, não há expectativas de privacidade em sua utilização.

2.9.    Tratamento de Incidentes de Segurança da Informação

Deve ser feito um acompanhamento e a análise da vulnerabilidade dos incidentes de Segurança da Informação mencionados nesta política.

2.10.    Continuidade do Negócio e Contingência dos RTIs

Para mitigar os riscos de interrupção causados por incidentes de segurança e manter os níveis de serviços de TI adequados na AgileProcess, são elaboradas ações de prevenção e recuperação, sempre alinhando a Política de Segurança da Informação com as Normas de Continuidade do Negócio.

2.11.     Conformidade

Este documento deve passar por um programa de revisão e atualização periódico, para garantir que todos os pontos aqui mencionados estejam implementados e sendo cumpridos dentro da empresa. Auditoria Interna incluirá em seu planejamento de trabalho anual as revisões dos controles internos descritos na Política de Segurança da Informação.

3.       DIRETRIZES

3.1.     Divulgação da Política

A AgileProcess deve garantir que esta política e suas normas complementares sejam divulgadas aos membros da empresa, além de mantê-la num local de fácil acesso a todos que se relacionam com a empresa.

Deve ser esclarecido que é responsabilidade de cada colaborador a consulta esporádica e voluntária para identificar possíveis atualizações dos documentos.

3.2.    Autorização de uso

Esta política e suas normas complementares devem ser interpretadas de forma restritiva, dentro do princípio de aplicação do menor privilégio possível, no qual os usuários têm acesso somente aos recursos de informação necessários para o pleno desempenho de suas atividades.

Tudo que não estiver expressamente permitido só poderá ser realizado após prévia autorização, devendo ser levado em consideração a análise de risco e a necessidade da solicitação.

3.3.     Manuseio das informações

As informações da AgileProcess, dos clientes, dos fornecedores e do público em geral, geradas, acessadas, manuseadas, armazenadas ou descartadas por um colaborador, bem como os Recursos de Tecnologia da Informação (RTI) disponibilizados, são de propriedade e direito de uso exclusivo da AgileProcess

Estas devem ser empregadas unicamente para fins profissionais – limitado às atribuições de cargo e/ou função desempenhadas pelo colaborador – que deve cumpri-las dentro do padrão de conduta ética estabelecida e alinhado a sua obrigação legal de sigilo profissional.

3.4.      Gestão da informação

A informação deve ser utilizada de forma transparente e apenas para a finalidade para a qual foi coletada. A gestão da informação deve ser assegurada por meio de medidas que proporcionem acesso e divulgação devidamente autorizados e de acordo com a legislação vigente.

3.5.      Controle de Acesso

A AgileProcess deve controlar o acesso físico e lógico às suas dependências e aos seus RTI. Desse modo, a empresa deve garantir que cada colaborador possua uma credencial de uso individual, intransferível, de conhecimento exclusivo e qualificando-o como responsável pelas ações realizadas. A AgileProcess deve ainda orientar seus colaboradores sobre a responsabilidade quanto ao uso e sigilo além de coibir o compartilhamento de credenciais (Crachás, Login e Senha), sob qualquer hipótese.

3.6.      Monitoramento

Os RTIs fornecidos pela AgileProcess podem ser utilizados para atualização de seus colaboradores, bem como estimular a cooperação entre eles. Desse modo, qualquer uso de RTI que permita maior mobilidade, bem como a participação em ambientes de relacionamento, como Redes Sociais, devem estar diretamente relacionados a uma justificativa do negócio, com motivo estritamente de trabalho, dentro das atribuições do colaborador.

Qualquer dano causado, por ação ou omissão, resultante de sua postura e/ou comportamento, pode resultar em processo administrativo disciplinar mediante apuração de responsabilidade.

3.7.     Termos/Contratos

O contrato com os colaboradores, funcionários, estagiários e prestadores de serviços deve respeitar os termos e condições desta Política de Segurança da Informação.

Junto ao contrato, um Termo de Confidencialidade, Responsabilidade e Sigilo deverá ser acordado, relacionado com o escopo de sua contratação e também sanções administrativas ou pecuniárias em caso de sua violação.

A AgileProcess deve prover auditorias periódicas que visam certificar o cumprimento dos requisitos de segurança e as responsabilidades previamente estabelecidas.

3.8.     Violação

As ocorrências que podem ser consideradas violações desta Política de Segurança da Informação devem ser avaliadas pela área de Segurança da Informação da AgileProcess.

Se caso constatado como um incidente, deve ser encaminhado para um Comitê de decisão para avaliar as medidas a serem tomadas.

3.9.      Fale Conosco

Se após a leitura desta Política de Privacidade, você ainda tiver qualquer dúvida, ou por qualquer razão precisar se comunicar conosco para assuntos envolvendo os seus dados pessoais, você pode entrar em contato pelo e-mail abaixo:

Encarregado (DPO): dpo@agileprocess.com.br

Ou através deste formulário. 

Estamos sempre à disposição para esclarecer suas dúvidas e colocar você no controle dos seus dados pessoais.

INTEGRAÇÃO COM SOFTWARES PARCEIROS

Facilitar a comunicação entre o embarcador e suas transportadoras é a principal função do AgileHub (ferramenta de integração entre parceiros). Desenvolvido pela AgileProcess, o sistema agrega visibilidade nas entregas, controla com maior facilidade e entrega uma melhor experiência para o usuário. As informações a serem compartilhadas vão de acordo com as necessidades do embarcador (fotos, assinaturas, geolocalização e outros dados relacionados ao recebedor e à entrega dos produtos).
  • Integração entre transportadoras, distribuidoras e indústrias no padrão que a sua empresa necessita.
  • Automatização de comunicação entre diversos softwares.
  • Maior visibilidade nos eventos de entrega e coleta junto ao sistema do seu parceiro logístico.
  • Integração fácil, rápida e segura.

COMPROVANTE DE ENTREGA DIGITAL COM CERTIFICAÇÃO JURÍDICA

Diretamente no aplicativo, o entregador coleta a assinatura do cliente em um canhoto digital. É gerado um documento assinado pelo entregador que contém os dados da entrega, o canhoto digital assinado, a rota, geolocalização, entre outros pontos. Este documento é certificado juridicamente e qualquer alteração realizada posteriormente, torna-o inválido. Sua garantia é legal através da ICP-Brasil – Infraestrutura de Chaves Públicas Brasileira.
  • Assinatura direto na tela do Aplicativo, sem impressão de papel
  • Autenticidade no documento, garantia de que o conteúdo não foi adulterado
  • Não repúdio, que faz com que seja impossível negar a autenticidade da mensagem.
  • Tempestividade, que mostra quando, onde e em qual horário aquele comprovante foi assinado digitalmente

Gestão de Entregas

Painel de Gestão:

acompanhar-entregas-em-tempo-real

Todas informações retornam automaticamente para o sistema de gestão da empresa, sem a necessidade de digitação ou qualquer intervenção humana, os dados ficarão disponíveis no painel de indicadores AgileProcess, onde, por meio de seus gráficos, a equipe poderá tomar decisões ágeis, precisas e desenvolver novas estratégias para o crescimento da empresa. Todas as principais informações são armazenadas e geram gráficos gerenciais que são mantidos e atualizados em tempo real.

  • Acompanhe a performance de cada motorista durante a jornada de entrega e coleta.
  • Veja em tempo real quais eventos estão em aberto, atrasados, cancelados e finalizados.
  • Indicadores de gestão atualizados de forma automática.
  • Tenha informações concretas para tomada de decisão.

Alerta o cliente VIA SMS:

Conforme estratégia definida pela empresa, o alerta via SMS manterá o cliente final informado sobre o status de sua entrega ou coleta via SMS, permitindo que o cliente colabore para um atendimento ágil e eficiente. Com a solução de alerta, o cliente também ajudará na antecipação de qualquer dificuldade para o recebimento, adiantando ações do SAC ou do próprio motorista. Evite revisitas ao cliente final com a solução de mensagem via SMS.

  • Ganhe minutos em cada evento de entrega e coleta.
  • Seu cliente estará pronto para receber o produto.
  • Seu cliente pode informar caso ocorra algum problema antes do recebimento, agilizando as ações da central para reorganizar a rota.
  • Diminuição no número de revisitas ao local de entrega e coleta.

Comprovantes de entrega digital

Ao efetuar a entrega, o comprovador digital AgileProcess entrará em ação. De forma simples e ágil, a ferramenta seguirá o processo conforme definido, solicitando a foto do canhoto da nota ou a assinatura do cliente, a leitura de um código de barras ou, ainda, complementando com alguma informação extra. O comprovante de entrega digital será encaminhado automaticamente para a central, permitindo que as etapas seguintes sigam em frente antes mesmo de o motorista retornar à base. O motorista pode registrar para a base o sucesso ou problema na hora da entrega ou coleta em tempo real.

Aplicativo para motoristas

Com todas as informações da rota no celular, o GPS mobile AgileProcess conduz o motorista ao local de cada entrega com facilidade. Sem perda de tempo ou erros, todas as entregas e coletas são executadas até o fim. O aplicativo informa as rotas mais econômicas e eficientes para o seu negócio. Caso tenha necessidade de alteração de rota, o motorista recebe a informação e o cálculo é feito automaticamente colocando o motorista em sua nova rota de entrega ou coleta.

Roteirização e Separação de entregas.

Por meio das informações extraídas automaticamente do sistema de gestão da sua empresa sobre todas as coletas e entregas que precisam ser realizadas, o AgileProcess geolocaliza os endereços, gera todas as rotas necessárias e otimiza a frota para a próxima jornada. Por ser integrado ao sistema de gestão, os romaneios são gerados com apenas um clique. Ao fim, o roteirizador encaminha a rota e todas as informações necessárias para a sua execução ao motorista, de forma que este é liberado para iniciar a sua jornada. Todo processo de Roteirização AgileProcess ocorre em poucos minutos e sem a necessidade de interferência humana, graças à tecnologia de ponta desenvolvida para utilizar inteligência artificial em seu processo. Antes de iniciar a roteirização o sistema ainda efetua a separação da carga conforme capacidade de cada veículo, gerando agilidade e segurança em cada entrega e coleta.
  • Fazemos a integração completa com o seu sistema de gestão, facilitando a implantação do produto e agilizando o seu processo de economia.
  • A separação de carga é feita de forma automatizada conforme capacidade de cada veículo.
  • O roteirizador monta a rota mais assertiva e econômica para suas entregas e coletas.
  • Um dos únicos produtos do mercado que utiliza inteligência artificial em sua composição.
  • Caso necessário as rotas podem ser alteradas em tempo real.
  • Tenha a previsão de chegada em cada evento de coleta e entrega.
  • Roteirize para diversos endereços ao mesmo tempo.
  • Tenha maior controle sobre os motoristas.