Política de Classificação de Dados

Diretrizes para Classificação de Dados
Objetivo
O objetivo da criação dessas diretrizes é chegar a uma estrutura para classificação de dados com base no nível de sensibilidade, seu valor e criticidade para a Appy Pie, conforme exigido pela Política de Segurança de Informações da Appy Pie. Este processo de classificação de dados ajudará na determinação dos controles básicos de segurança para segurança ou proteção de dados.
Aplicação
A Política é aplicável à equipe e estendida aos Agentes terceirizados da Appy Pie, bem como a qualquer outro afiliado da Appy Pie que tenha acesso aos Dados da Appy Pie. A política se aplica particularmente aos recursos responsáveis pela classificação e proteção dos Dados da Appy Pie, conforme especificado pelas Funções e Responsabilidades de Segurança da Informação.
Definições
Dados Confidenciais são uma frase genérica que significa todo e qualquer dado classificado como Restrito, de acordo com o esquema de classificação de dados estabelecido nesta política. Frequentemente, também são chamados de dados sensíveis.
Um Data Steward (Administrador de Dados) é um funcionário de nível sênior designado na Appy Pie que supervisiona o ciclo de vida de um ou vários conjuntos de Dados da Appy Pie.

Os Dados da Appy Pie incluem todos os dados de propriedade ou licenciados por Appy Pie.
Informações não públicas são quaisquer informações classificadas como Informações Privadas ou Restritas de acordo com o esquema de classificação de dados apresentado na política.
Dados sensíveis são um termo genérico que significa todo e qualquer dado classificado como Restrito, de acordo com o esquema de classificação de dados estabelecido nesta política. Muitas vezes também são referidos como dados confidenciais.

Classificação de Dados

A classificação de dados, no contexto da informação ou segurança de dados, é a classificação dos dados com base no seu nível de sensibilidade e no impacto que pode ter na Appy Pie se for divulgado, modificado ou destruído sem sanção ou autorização. Este processo de classificação de dados ajuda a determinar os controles de segurança de linha de base apropriados para proteção de dados. Todos os dados da Appy Pie devem ser classificados em um dos três níveis de sensibilidade ou classificações:

A. Dados Restritos
Apenas esses dados devem ser classificados como Restritos, que se divulgados, alterados ou destruídos sem autorização podem causar risco considerável para a Appy Pie, seus clientes ou suas afiliadas. Por exemplo – dados protegidos por regulamentos de privacidade estaduais ou federais ou dados protegidos por acordos de confidencialidade. Os dados restritos devem ser protegidos pelo mais alto nível de controles de segurança.
B. Dados Privados
Apenas esses dados devem ser classificados como Privados, que se divulgados, alterados ou destruídos sem autorização podem causar risco moderado para a Appy Pie, seus clientes ou suas afiliadas. Quaisquer dados da Appy Pie que não sejam explicitamente classificados como dados restritos ou públicos devem, por padrão, ser considerados dados privados. Os dados privados devem ser protegidos por um nível razoável de controles de segurança.
C. Dados Público
Apenas esses dados devem ser classificados como Públicos, que se divulgados, alterados ou destruídos sem autorização podem causar pouco ou nenhum risco para Appy Pie, seus clientes e suas afiliadas. Por exemplo – comunicados à imprensa, recursos educacionais e estudos de caso. Embora pouco ou nenhum controle precise ser aplicado para proteger a confidencialidade dos dados públicos, ainda assim, certo nível de controle deve ser aplicado para evitar a modificação ou destruição não autorizada dos dados públicos.

A classificação dos dados deve ser realizada por um Data Steward adequado. Os Data Stewards são funcionários de nível sênior da Appy Pie, responsáveis por supervisionar os ciclos de vida completos de um ou vários conjuntos de dados da Appy Pie.

Classificação Calculadora

O objetivo da segurança da informação, conforme mencionado em nossa Política de Segurança da Informação, é proteger a confidencialidade, integridade e disponibilidade dos Dados da Appy Pie. A classificação dos dados indica o nível de impacto na Appy Pie se houver qualquer comprometimento da confidencialidade, integridade ou disponibilidade.

Lamentavelmente, não existe um sistema quantitativo perfeito para calcular a classificação de um determinado elemento de dados. Em algumas situações, a classificação correta pode ser mais evidente, como quando as leis federais exigem que a Appy Pie proteja tipos de dados específicos (por exemplo, informações de identificação pessoal). Nos casos em que a classificação adequada não é inatamente evidente, considere cada objetivo de segurança conforme descrito na tabela a seguir. A tabela a seguir é retirada da publicação Federal Information Processing Standards (FIPS) 199 publicada pelo National Institute of Standards and Technology, que examina a classificação da informação e dos sistemas de informação.

IMPACTO POTENCIAL
Objetivo de Segurança BAIXO MODERADO ALTO
Confidencialidade
Preservar as restrições autorizadas ao acesso e divulgação de informações, incluindo meios para proteger a privacidade pessoal e informações proprietárias
A divulgação não autorizada de informações poderá esperar um efeito adverso limitado nas operações organizacionais, ativos organizacionais ou indivíduos. A divulgação não autorizada de informações terá um efeito adverso sério sobre as operações organizacionais, ativos organizacionais ou indivíduos. A divulgação não autorizada de informações terá um efeito adverso grave ou catastrófico nas operações organizacionais, ativos organizacionais ou indivíduos.
Integridade
Proteção contra modificação ou destruição indevida de informações e inclui a garantia do não repúdio e da autenticidade das informações.
Pode-se esperar que a modificação ou destruição não autorizada de informações tenha um efeito adverso limitado nas operações organizacionais, ativos organizacionais ou indivíduos. Pode-se esperar que a modificação ou destruição não autorizada de informações tenha um efeito adverso sério nas operações organizacionais, ativos organizacionais ou indivíduos. Pode-se esperar que a modificação ou destruição não autorizada de informações tenha um efeito adverso grave ou catastrófico nas operações organizacionais, ativos organizacionais ou indivíduos.
Disponibilidade
Garantir o acesso oportuno e confiável e o uso das informações.
A interrupção do acesso ou uso da informação ou de um sistema de informação poderá esperar um efeito diverso limitado nas operações organizacionais, ativos organizacionais ou indivíduos. A interrupção do acesso ou uso da informação ou de um sistema de informação poderá esperar um efeito adverso sério nas operações organizacionais, ativos organizacionais ou indivíduos. A interrupção do acesso ou uso de informações ou de um sistema de informações poderá ter um efeito adverso severo ou catastrófico nas operações organizacionais, ativos organizacionais ou indivíduos.

Quando o impacto potencial na Appy Pie vai de Baixo para Alto, a classificação de dados precisa se tornar progressivamente restritiva, passando de Público para Restrito. Caso uma classificação adequada ainda seja vaga após a devida consideração dos pontos mencionados acima, entre em contato com o Oficial de Segurança da Informação para obter assistência.

Tipo de Informação Classificação de Dados Impacto de Confidenciabilidade Impacto de Integridade Impacto de Disponibilidade
Dados Pessoais (Cliente) Confidencial Alto Alto Alto
Dados Pessoais (Colaboradores) Confidencial Baixo Moderado Moderado
Dados Financeiros (Clientes) Confidencial Alto Alto Alto
Dados Financeiros (Empregados) Confidencial Alto Alto Alto
Dados do Fornecedor Público Baixo Baixo Baixo