Política de Classificação de Dados

Directrizes para a classificação de dados

Finalidade

O objectivo de criar estas directrizes é criar um quadro para a classificação dos dados com base no nível de sensibilidade, o seu valor e criticidade à Appy Pie, tal como exigido pela Política de Segurança da Informação da Appy Pie. Este processo de classificação de dados ajudará a determinar melhor os controlos de segurança de base para a segurança ou protecção de dados.

Aplica-se a

A Política é aplicável ao pessoal e é alargada aos agentes terceiros da Appy Pie, bem como a qualquer outro afiliado da Appy Pie que tenha acesso aos dados da Appy Pie. A política aplica-se particularmente aos recursos responsáveis pela classificação e protecção dos dados da Appy Pie, tal como especificado pelos Papéis e Responsabilidades de Segurança da Informação

Definições

Dados Confidenciais é uma frase genérica que significa todo e qualquer dado que seja classificado como Restrito, de acordo com o esquema de classificação de dados estabelecido nesta política. É também referida com bastante frequência como dados sensíveis.

Um Data Steward é um funcionário de nível superior designado na Appy Pie que supervisiona o ciclo de vida de um ou vários conjuntos de Appy Pie Data.

Appy Pie Data inclui todos os dados pertencentes ou licenciados por Appy Pie.

Informação não pública é qualquer informação que seja classificada como Informação Privada ou Restrita de acordo com o esquema de classificação de dados apresentado na política.

Dados Sensíveis é um termo genérico que significa todo e qualquer dado classificado como Restrito, de acordo com o esquema de classificação de dados estabelecido na presente política. É também referida com bastante frequência como dados confidenciais.

Classificação de dados

A classificação dos dados, no contexto da segurança da informação ou dos dados, é a classificação dos dados com base no seu nível de sensibilidade e o impacto que podem ter na Appy Pie se forem divulgados, modificados ou destruídos sem sanção ou autorização. Este processo de classificação de dados ajuda a determinar os controlos de segurança de base apropriados para a protecção de dados. Todos os dados da Appy Pie devem ser classificados em um de três níveis de sensibilidade, ou classificações:

A.Dados restritos
Só que os dados devem ser classificados como Restritos, que se divulgados, alterados, ou destruídos sem autorização podem causar riscos consideráveis à Appy Pie, aos seus clientes, ou às suas filiais. Por exemplo – dados protegidos por regulamentos de privacidade estaduais ou federais ou dados protegidos por acordos de confidencialidade. Os dados restritos devem ser protegidos pelo mais alto nível de controlos de segurança.
B.Dados privados
Apenas esses dados devem ser classificados como Privados, que se divulgados, alterados ou destruídos sem autorização podem causar um risco moderado à Appy Pie, aos seus clientes, ou às suas afiliadas. Qualquer dado Appy Pie que não seja explicitamente classificado como Dados Reservados ou Públicos deve, por defeito, ser considerado Dados Privados. Os dados privados devem ser protegidos por um nível razoável de controlos de segurança.
C.Dados públicos
Apenas que os dados devem ser classificados como públicos, que se divulgados, alterados ou destruídos sem autorização, podem causar pouco ou nenhum risco à Appy Pie, aos seus clientes, e às suas filiais. Por exemplo – comunicados de imprensa, recursos educativos, e estudos de caso. Embora pouco ou nenhum controlo deva ser aplicado para proteger a confidencialidade dos dados públicos, ainda assim deve ser aplicado um certo nível de controlo para evitar a modificação ou destruição não autorizada de dados públicos.

A classificação dos dados deve ser efectuada por um Data Steward adequado. Os Data Stewards são funcionários de nível superior da Appy Pie que são responsáveis pela supervisão dos ciclos de vida completos de um ou vários conjuntos de Appy Pie Data.

Cálculo da classificação

O objectivo da segurança da informação, tal como mencionado na nossa Política de Segurança da Informação, é proteger a confidencialidade, integridade, e disponibilidade dos dados da Appy Pie. A classificação dos dados indica o nível de impacto na Appy Pie se houver qualquer compromisso de confidencialidade, integridade, ou disponibilidade.

Lamentavelmente, não existe um sistema quantitativo perfeito para calcular a classificação de um determinado elemento de dados. Em algumas situações, a classificação correcta pode ser mais evidente, como por exemplo quando as leis federais exigem a Appy Pie para proteger determinados tipos de dados (por exemplo, informações pessoalmente identificáveis). Nos casos em que a classificação adequada não seja inatamente evidente, considerar todos os objectivos de segurança, tal como descritos no quadro seguinte. A tabela abaixo é retirada da publicação Federal Information Processing Standards (FIPS) 199 publicada pelo Instituto Nacional de Normas e Tecnologia, que examina a classificação da informação e os sistemas de informação.

IMPACTO POTENCIAL
Objectivo de SegurançaBAIXOMODERADOELEVADO
Confidencialidade
Preservar restrições autorizadas de acesso e divulgação de informação, incluindo meios para proteger a privacidade pessoal e informação de propriedade.
A divulgação não autorizada de informação poderia ter um efeito adverso limitado nas operações organizacionais, bens organizacionais, ou indivíduos.A divulgação não autorizada de informação poderia ter um efeito adverso grave nas operações organizacionais, bens organizacionais, ou indivíduos.A divulgação não autorizada de informação poderia ter um efeito adverso grave ou catastrófico nas operações organizacionais, bens organizacionais, ou indivíduos.
Integridade
Proteger contra a modificação ou destruição imprópria de informação e incluir a garantia de não repúdio e autenticidade da informação.
A modificação ou destruição não autorizada de informação poderia ter um efeito adverso limitado nas operações organizacionais, bens organizacionais, ou indivíduos.A modificação ou destruição não autorizada de informação poderia ter um efeito adverso grave nas operações organizacionais, bens organizacionais, ou indivíduos.A modificação ou destruição não autorizada de informação poderia ter um efeito adverso grave ou catastrófico nas operações organizacionais, bens organizacionais, ou indivíduos.
Disponibilidade
Assegurar o acesso oportuno e fiável à informação e a sua utilização.
A interrupção do acesso ou utilização da informação ou de um sistema de informação poderia ter um efeito limitado e diversificado nas operações organizacionais, bens organizacionais, ou indivíduos.A interrupção do acesso ou utilização da informação ou de um sistema de informação poderia ter um efeito adverso grave nas operações organizacionais, bens organizacionais, ou indivíduos.A interrupção do acesso ou utilização da informação ou de um sistema de informação poderia ter um efeito adverso grave ou catastrófico nas operações organizacionais, bens organizacionais, ou indivíduos.

Quando o potencial impacto no Appy Pie passa de Baixo para Alto, a classificação de dados tem de se tornar progressivamente restritiva passando de Público para Restrito. Caso uma classificação adequada ainda seja vaga após a devida consideração dos pontos acima mencionados, contactar o Oficial de Segurança da Informação para assistência.

Tipo de informação Classificação de dados Impacto da Confidencialidade Impacto na integridade Impacto da disponibilidade
Dados Pessoais (Cliente)ConfidencialAltoAltoAlto
Dados pessoais (Empregado)ConfidencialBaixoEm meados deEm meados de
Dados financeiros (Clientes)ConfidencialAltoAltoAlto
Dados financeiros (Empregados)ConfidencialAltoAltoAlto
Dados do fornecedor PúblicoBaixoBaixoBaixo