Política de Segurança da Informação (PSI)

Essencial para o mundo digital. Define as boas práticas para proteger os dados do Grupo5estrelas, incluindo regras para criação de senhas fortes, bloqueio de tela, política de mesa limpa e como identificar e prevenir ataques de phishing ou malware nos sistemas corporativos.

Política de Segurança da Informação

Grupo 5 estrelas
CNPJ: 72.591.894/0001-42
Última atualização: Março de 2026

1. Apresentação

A presente Política de Segurança da Informação estabelece os princípios, diretrizes, responsabilidades e controles gerais adotados pelo Grupo 5 estrelas para proteger seus ativos de informação, ambientes tecnológicos, sistemas, dados, documentos, comunicações, processos e recursos digitais ou físicos relacionados à informação.

A segurança da informação é componente essencial da governança corporativa, da continuidade operacional, da conformidade legal, da proteção de dados pessoais, da confiança institucional e da resiliência do negócio.

Esta Política tem por finalidade orientar o comportamento dos usuários, apoiar a tomada de decisão, fortalecer a gestão de riscos e assegurar que o tratamento, o armazenamento, a circulação e o uso das informações ocorram de forma adequada, legítima e segura.

A presente Política deve ser interpretada em conjunto com o Código de Conduta e Ética, a Política de Privacidade e Proteção de Dados Pessoais, a Política de Compliance e Anticorrupção, os Termos de Uso da Plataforma, a Política de Segurança Privada e Proteção Patrimonial, a Política de SST, normas internas complementares e demais procedimentos aplicáveis.

2. Objetivo

São objetivos desta Política:

  • proteger os ativos de informação do Grupo5estrelas contra acesso não autorizado, uso indevido, perda, destruição, alteração, indisponibilidade, vazamento, comprometimento ou qualquer tratamento inadequado;

  • preservar a confidencialidade, a integridade, a disponibilidade e, quando aplicável, a autenticidade e a rastreabilidade das informações;

  • estabelecer diretrizes mínimas para o uso seguro de sistemas, credenciais, dispositivos, redes, serviços e dados;

  • orientar a gestão de riscos de segurança da informação e cibernética;

  • apoiar a prevenção, a detecção, a resposta e a recuperação diante de incidentes de segurança;

  • reforçar a conformidade com obrigações legais, regulatórias, contratuais e institucionais;

  • promover cultura organizacional de proteção da informação, responsabilidade individual e melhoria contínua.

3. Abrangência

Esta Política aplica-se, no que couber, a:

  • sócios, administradores, diretores e lideranças;

  • empregados e colaboradores em geral;

  • estagiários, aprendizes e temporários;

  • terceiros alocados, consultores, parceiros, prestadores de serviço e fornecedores com acesso a informações, sistemas, ambientes ou ativos do Grupo5estrelas;

  • usuários internos e externos autorizados a utilizar recursos tecnológicos ou acessar informações sob responsabilidade da organização.

A presente Política abrange informações em qualquer meio ou formato, inclusive:

  • documentos físicos;

  • arquivos digitais;

  • e-mails e mensagens corporativas;

  • bancos de dados;

  • registros operacionais;

  • conteúdos acadêmicos e institucionais;

  • sistemas corporativos;

  • ambientes em nuvem;

  • dispositivos móveis;

  • mídias removíveis;

  • backups;

  • registros de acesso, monitoramento e auditoria.

4. Princípios orientadores

A segurança da informação no Grupo5estrelas observará, entre outros, os seguintes princípios:

  • confidencialidade;

  • integridade;

  • disponibilidade;

  • autenticidade;

  • rastreabilidade;

  • legalidade e conformidade;

  • necessidade e minimização;

  • segregação de funções;

  • privilégio mínimo;

  • prevenção e proporcionalidade;

  • responsabilização e prestação de contas;

  • melhoria contínua.

5. Diretrizes gerais

O Grupo5estrelas buscará manter um conjunto de medidas administrativas, técnicas, físicas e organizacionais compatíveis com seu porte, seus riscos, seus processos e a criticidade de seus ativos de informação.

Essas medidas poderão envolver, conforme aplicabilidade:

  • gestão de acessos;

  • classificação e tratamento da informação;

  • gestão de ativos tecnológicos e informacionais;

  • proteção de redes, sistemas e dispositivos;

  • monitoramento e registro de eventos;

  • cópias de segurança e continuidade;

  • proteção de dados pessoais e sigilosos;

  • gestão de vulnerabilidades e atualizações;

  • resposta a incidentes;

  • conscientização e treinamento;

  • controles sobre terceiros e serviços contratados.

6. Classificação e tratamento da informação

As informações sob responsabilidade do Grupo5estrelas deverão ser tratadas de acordo com sua sensibilidade, criticidade e necessidade de proteção.

Sempre que aplicável, a organização poderá adotar classificação compatível com sua realidade, por exemplo:

  • Pública: informação cuja divulgação autorizada não cause impacto relevante;

  • Uso interno: informação destinada ao uso corporativo regular, sem autorização de divulgação externa indiscriminada;

  • Confidencial: informação cujo acesso deve ser restrito a pessoas autorizadas em razão do risco associado ao seu uso ou divulgação indevida;

  • Restrita ou sensível: informação de maior criticidade, incluindo dados pessoais sensíveis, informações estratégicas, segredos de negócio, credenciais, registros jurídicos, documentos financeiros, conteúdos sigilosos ou dados sujeitos a controles reforçados.

O tratamento da informação deve observar sua classificação, incluindo regras de acesso, compartilhamento, armazenamento, transporte, retenção, descarte e reprodução.

7. Gestão de ativos de informação e tecnologia

Ativos de informação e recursos tecnológicos do Grupo5estrelas devem ser identificados, utilizados, protegidos e descartados de forma compatível com sua criticidade.

Isso inclui, entre outros:

  • notebooks, desktops e estações de trabalho;

  • dispositivos móveis;

  • servidores e equipamentos de rede;

  • contas corporativas e identidades digitais;

  • sistemas internos e aplicações;

  • repositórios de arquivos e bases de dados;

  • mídias de armazenamento;

  • documentos físicos e digitais;

  • softwares, licenças e serviços em nuvem.

Todos os usuários devem zelar pelos ativos que estejam sob sua responsabilidade e utilizá-los exclusivamente para finalidades legítimas e autorizadas.

8. Gestão de identidades, autenticação e controle de acesso

O acesso a sistemas, dados, ambientes e recursos tecnológicos deverá observar critérios de necessidade de negócio, privilégio mínimo, segregação de funções e autorização compatível com o perfil do usuário.

8.1. Regras gerais

O Grupo5estrelas buscará adotar, conforme aplicabilidade:

  • contas individuais e intransferíveis;

  • autenticação adequada ao nível de risco;

  • controle de criação, alteração, revisão e revogação de acessos;

  • trilhas de auditoria para ações relevantes;

  • revisão periódica de perfis e permissões;

  • restrição a acessos privilegiados;

  • mecanismos adicionais de autenticação para ativos críticos, quando recomendável.

8.2. Credenciais e senhas

As credenciais são pessoais e intransferíveis. É proibido compartilhar login, senha, token, código de autenticação ou qualquer outro mecanismo de acesso.

As senhas devem ser criadas e mantidas conforme os padrões corporativos vigentes, observando requisitos de robustez compatíveis com o risco, evitando senhas fracas, previsíveis, reutilizadas ou baseadas em informações facilmente identificáveis.

Sempre que aplicável, o Grupo5estrelas poderá adotar:

  • autenticação multifator;

  • cofre de senhas ou gerenciadores corporativos;

  • bloqueio automático após tentativas inválidas;

  • critérios de renovação ou substituição em situações de risco;

  • controles reforçados para acessos administrativos e críticos.

8.3. Bloqueio de sessão e uso de estação de trabalho

Todo usuário deve proteger sua estação de trabalho, bloqueando a sessão quando se ausentar e evitando exposição indevida de informações em tela, mesa ou ambiente compartilhado.

9. Uso aceitável de recursos tecnológicos

Os recursos tecnológicos disponibilizados pelo Grupo5estrelas destinam-se prioritariamente a finalidades profissionais, institucionais, operacionais, acadêmicas e corporativas legítimas.

É vedado, entre outras condutas:

  • utilizar recursos corporativos para prática ilícita, fraudulenta, abusiva ou incompatível com o ambiente profissional;

  • instalar softwares, extensões, aplicativos ou ferramentas sem autorização, quando exigida;

  • burlar controles de segurança, filtros, restrições de acesso ou mecanismos de monitoramento legítimos;

  • utilizar contas corporativas para envio de conteúdos ofensivos, discriminatórios, fraudulentos ou maliciosos;

  • armazenar, compartilhar ou transmitir material incompatível com a legislação ou com as políticas internas;

  • realizar atividades que aumentem indevidamente o risco cibernético da organização.

O uso eventual e moderado para fins pessoais poderá ser tolerado apenas quando não prejudicar o trabalho, a segurança, o desempenho dos sistemas, a imagem institucional ou o cumprimento das políticas internas.

10. E-mail, mensagens, phishing e engenharia social

E-mails, mensagerias corporativas e demais canais digitais são vetores sensíveis para incidentes de segurança e devem ser utilizados com cautela.

Todos os usuários devem:

  • verificar remetentes, anexos, links e solicitações incomuns;

  • desconfiar de mensagens urgentes, inesperadas ou que solicitem credenciais, pagamentos, dados sensíveis ou mudanças de procedimento;

  • não informar senhas ou códigos de autenticação por e-mail, telefone ou mensagem, salvo por canal formalmente autorizado e em procedimento legítimo;

  • reportar suspeitas de phishing, engenharia social, malware ou fraude aos canais competentes;

  • evitar abertura de anexos, instalação de arquivos ou clique em links suspeitos.

A equipe de tecnologia, segurança ou suporte não deve solicitar senha do usuário por meios informais ou incompatíveis com os procedimentos corporativos.

11. Proteção de dados pessoais e informações sensíveis

O tratamento de dados pessoais, dados pessoais sensíveis, informações estratégicas, dados financeiros, documentos jurídicos, informações de RH, credenciais e segredos de negócio deve observar medidas reforçadas de proteção.

Todos os usuários com acesso a informações sensíveis devem:

  • acessá-las apenas quando necessário ao exercício legítimo de suas funções;

  • limitar o compartilhamento ao mínimo necessário;

  • utilizar apenas canais e sistemas autorizados;

  • evitar armazenamento local desnecessário;

  • observar a Política de Privacidade, regras de confidencialidade e orientações internas aplicáveis.

12. Mesa limpa, tela limpa e documentos físicos

Informações impressas ou manuscritas contendo dados pessoais, dados sensíveis, credenciais, informações estratégicas ou documentos sigilosos não devem permanecer expostas indevidamente em mesas, impressoras, salas compartilhadas, veículos ou áreas de circulação.

Conforme a sensibilidade do conteúdo, o usuário deverá:

  • guardar documentos em local seguro;

  • recolher impressões imediatamente;

  • evitar anotações visíveis com senhas ou informações críticas;

  • descartar documentos confidenciais de forma adequada, inclusive por fragmentação ou procedimento seguro equivalente;

  • proteger a visualização de telas quando houver risco de exposição indevida.

13. Segurança de dispositivos e mobilidade

Dispositivos corporativos ou autorizados para fins de trabalho devem ser protegidos de forma adequada contra perda, furto, acesso indevido, malware, instalação irregular de aplicativos e uso não autorizado.

Sempre que aplicável, o Grupo5estrelas poderá adotar controles como:

  • criptografia de dispositivos;

  • gestão centralizada de endpoints;

  • antivírus/antimalware ou solução equivalente;

  • atualização automática ou controlada;

  • bloqueio remoto;

  • inventário de ativos;

  • restrição ao uso de mídias removíveis;

  • regras específicas para BYOD, quando permitido.

O usuário deverá comunicar imediatamente perda, roubo, extravio, suspeita de comprometimento ou uso indevido de dispositivo corporativo.

14. Segurança de redes, sistemas e infraestrutura

O Grupo5estrelas buscará proteger seus ambientes tecnológicos por meio de controles compatíveis com os riscos e a criticidade dos ativos, podendo incluir, conforme aplicabilidade:

  • segmentação de redes;

  • hardening de sistemas e dispositivos;

  • controle de acesso remoto;

  • proteção contra malware;

  • gestão de vulnerabilidades;

  • registro e monitoramento de eventos;

  • controle de mudanças;

  • atualização e correção de sistemas;

  • mecanismos de detecção e resposta;

  • proteção de serviços expostos à internet;

  • gestão segura de configurações.

15. Criptografia e proteção de comunicações

Sempre que cabível e proporcional ao risco, o Grupo5estrelas buscará empregar mecanismos de criptografia, proteção de comunicações e salvaguardas técnicas adequadas para informações em trânsito, em repouso ou sujeitas a maior criticidade.

A utilização de criptografia deve observar critérios corporativos de segurança, gestão adequada de chaves, compatibilidade operacional e requisitos legais ou contratuais aplicáveis.

16. Cópias de segurança, continuidade e recuperação

A disponibilidade da informação depende de medidas adequadas de backup, recuperação e continuidade.

O Grupo5estrelas buscará manter, conforme aplicabilidade:

  • rotinas de cópia de segurança compatíveis com a criticidade dos ativos;

  • proteção dos backups contra acesso indevido, corrupção ou perda;

  • testes periódicos de restauração, quando recomendável;

  • critérios de retenção e descarte;

  • medidas de continuidade operacional e recuperação após incidentes relevantes.

A existência de backup não substitui controles preventivos, nem afasta a necessidade de gestão de riscos e resiliência dos processos.

17. Monitoramento, registros e auditoria

Os sistemas, redes, serviços, contas e recursos tecnológicos do Grupo5estrelas poderão estar sujeitos a monitoramento, registro, auditoria e rastreabilidade para finalidades legítimas como:

  • segurança da informação;

  • prevenção e detecção de incidentes;

  • suporte técnico;

  • conformidade legal, regulatória e contratual;

  • investigação de desvios ou irregularidades;

  • defesa de direitos.

Os registros produzidos nesses contextos devem ser acessados apenas por pessoas autorizadas e tratados com confidencialidade, necessidade e proporcionalidade.

18. Gestão de vulnerabilidades e mudanças

O Grupo5estrelas buscará adotar processo compatível de identificação, avaliação, tratamento e acompanhamento de vulnerabilidades técnicas e de mudanças relevantes em seus ambientes tecnológicos.

Sempre que aplicável, isso poderá incluir:

  • inventário de ativos críticos;

  • acompanhamento de atualizações e correções;

  • análise de impacto de mudanças;

  • testes antes de implantação em ambientes críticos, quando viável;

  • priorização baseada em risco;

  • registro e validação de alterações relevantes.

19. Terceiros, fornecedores e serviços em nuvem

Fornecedores, parceiros, operadores, prestadores de serviço e terceiros com acesso a informações, sistemas ou ambientes do Grupo5estrelas deverão observar padrões adequados de segurança e confidencialidade compatíveis com a natureza da relação.

Conforme a criticidade da contratação, poderão ser exigidos:

  • avaliação de segurança e integridade;

  • cláusulas contratuais de confidencialidade, proteção de dados e segurança;

  • restrição de acessos;

  • segregação de ambientes;

  • monitoramento de atividades;

  • requisitos mínimos para serviços em nuvem, hospedagem, suporte, desenvolvimento ou manutenção.

Nenhum terceiro deve receber acesso superior ao necessário para a finalidade contratada.

20. Incidentes de segurança da informação

Constitui incidente de segurança da informação qualquer evento suspeito ou confirmado que possa comprometer a confidencialidade, a integridade, a disponibilidade, a autenticidade ou a rastreabilidade de informações, sistemas, serviços ou ativos tecnológicos.

Exemplos incluem, entre outros:

  • infecção por malware;

  • tentativa ou ocorrência de acesso não autorizado;

  • perda ou furto de dispositivo corporativo;

  • envio indevido de informação sensível;

  • vazamento ou exposição indevida de dados;

  • indisponibilidade relevante de sistema;

  • comprometimento de credenciais;

  • falhas de segurança em terceiros ou serviços críticos.

Todo incidente ou suspeita razoável deve ser comunicado imediatamente, ou tão logo possível, aos canais competentes.

21. Resposta a incidentes e comunicação

O Grupo5estrelas buscará manter fluxo de resposta a incidentes compatível com sua estrutura, podendo envolver, conforme aplicabilidade:

  • triagem inicial e classificação do evento;

  • contenção, erradicação e recuperação;

  • preservação de evidências;

  • análise de impacto;

  • comunicação às áreas internas competentes;

  • revisão de credenciais e acessos;

  • implementação de ações corretivas e preventivas;

  • comunicação a terceiros, clientes, autoridades e titulares de dados, quando exigido pela legislação ou pelo contexto do incidente.

Quando o incidente envolver dados pessoais, deverão ser observadas as exigências legais aplicáveis, inclusive quanto à eventual comunicação à Autoridade Nacional de Proteção de Dados e aos titulares, nos termos da legislação vigente.

22. Conscientização e treinamento

A segurança da informação depende do comportamento das pessoas. Por isso, o Grupo5estrelas buscará promover ações de conscientização, capacitação e reforço periódico sobre temas como:

  • proteção de credenciais;

  • phishing e engenharia social;

  • uso seguro de e-mail e internet;

  • classificação da informação;

  • proteção de dados pessoais;

  • uso seguro de dispositivos;

  • incidentes de segurança;

  • boas práticas em trabalho remoto e ambientes compartilhados.

A participação em treinamentos obrigatórios e comunicações institucionais de segurança é dever dos públicos abrangidos por esta Política.

23. Responsabilidades

23.1. Alta administração e liderança

Compete à liderança apoiar a segurança da informação, promover recursos compatíveis, reforçar a cultura de proteção e apoiar a observância desta Política.

23.2. Área de TI, segurança da informação ou função equivalente

Compete às áreas responsáveis orientar, implementar controles, monitorar riscos, apoiar incidentes, administrar recursos tecnológicos e promover a melhoria contínua da segurança.

23.3. Gestores

Compete aos gestores assegurar que suas equipes conheçam e observem esta Política, reportem incidentes e utilizem adequadamente os recursos sob sua responsabilidade.

23.4. Usuários em geral

Compete a todos os usuários proteger credenciais, cumprir as regras de uso, zelar pelos ativos e comunicar prontamente qualquer suspeita, falha, perda ou incidente relevante.

24. Medidas disciplinares e consequências

O descumprimento desta Política, das normas complementares ou das orientações legítimas de segurança poderá ensejar medidas administrativas, disciplinares, contratuais e legais cabíveis, conforme a gravidade da ocorrência, a natureza do vínculo e a legislação aplicável.

25. Canal para reporte e orientação

Dúvidas, relatos de suspeita, notificações de incidente e solicitações relacionadas à segurança da informação poderão ser encaminhados pelos canais institucionais disponibilizados pela organização.

Canal informado para Suporte de TI / Segurança: suporte@midnal.com.br

Sempre que possível, recomenda-se a existência de canal específico de segurança da informação ou resposta a incidentes, distinto de suporte geral, com fluxo apropriado para tratamento técnico, registro e escalonamento de eventos.

26. Vigência e atualização

Esta Política entra em vigor na data de sua publicação e poderá ser revisada e atualizada periodicamente para refletir mudanças legais, regulatórias, tecnológicas, operacionais ou de governança.

27. Disposições finais

A informação é um ativo estratégico e sua proteção depende da atuação coordenada entre tecnologia, processos, liderança, usuários e governança.

O Grupo 5 estrelas reafirma que a segurança da informação é responsabilidade compartilhada e condição essencial para a continuidade do negócio, a proteção de dados, a conformidade e a confiança institucional.

Voltar
Ir ao início