A Plusoft é certificada ISO27001 desde 2017, e já em 2023 nos recertificamos na nova versão da norma ISO27001/2022. Estamos aderentes aos 93 controles dispostos na norma que nos garante a maturidade de todo nosso processo de Segurança.

Por trabalharmos com soluções baseadas em tecnologia, reconhecemos os riscos associados a possíveis vazamentos ou perdas de informações. Por este motivo, dedicamos uma atenção especial a todos os aspectos que envolvem a segurança da informação de dados. Além de operarmos em conformidade com a legislação vigente, incluindo a Lei Geral de Proteção de Dados (LGPD, lei 13.709/2018), implementamos uma série de procedimentos formais para identificar e mitigar potenciais ameaças. Desta forma, criamos processos rígidos em nossas atividades por meio da adoção de uma variedade de políticas internas, as quais são constantemente revisadas e atualizadas. São elas:

• Política de Segurança da Informação PSI: esta política aplica-se a toda a organização e tem como objetivo evitar o uso indevido e a destruição ou divulgação não autorizada das informações de propriedade da Plusoft. Ela tem como finalidade garantir a continuidade do negócio e maximizar o retorno sobre os investimentos e as oportunidades;
• Política de Segurança da Informação em nuvem: criada para estabelecer diretrizes adicionais e específicas para a solução de relacionamento com os clientes OMNI Plusoft – ou qualquer outra solução sob a gestão da área de Infraestrutura, que é cliente do serviço em nuvem. O documento orienta os colaboradores a buscar a melhoria contínua nas atividades relacionadas ao planejamento, execução, análise dos seus processos/produtos, proteção da segurança das informações geradas e o correto funcionamento do Sistema de Gestão da Segurança da Informação;
• Política corporativa de privacidade: o intuito deste conteúdo é esclarecer quais informações são coletadas dos usuários de nosso site, de qual forma esses dados são utilizados e com quem são compartilhados, visando a maior transparência no relacionamento entre a Plusoft e o usuário; 
• SOA-Declaração de Aplicabilidade: esclarecer quais controles da ISO27001/2022 adotamos em nosso modelo de negócio;
• Plano de Comunicação de Incidentes: definição de processos a serem seguidos para a Comunicação entre a Plusoft e seus clientes sobre incidentes;
• Plano de continuidade de negócio: a Plusoft Informática S.A. assume o compromisso de assegurar a continuidade do negócio em caso de ocorrência de eventos anómalos que possam comprometer o funcionamento normal da sua atividade, salvaguardando os interesses dos seus clientes, dos seus colaboradores e demais partes interessadas. Esta política aplica-se a toda a organização;
• Política corporativa de proteção de dados: a proteção de dados no processamento de informações de nossos clientes e consumidores representa hoje um dos grandes ativos a serem protegidos em nossa estrutura. Por esse motivo, em cumprimento da legislação relativa à proteção de dados, o Grupo Plusoft elaborou a presente Política Corporativa de Proteção de Dados;
• Política de mesa e tela limpa: esta política visa dar ciência das boas práticas tanto no trabalho presencial, como no homeoffice, relacionadas a assegurar que informações sensíveis, tanto em formato digital quanto físico. Garantindo que ativos (notebooks, celulares, tablets, etc.) não sejam deixados desprotegidos em espaços de trabalho pessoais ou públicos quando não estão em uso. Ou quando alguém deixa sua área de trabalho, seja por um curto período de tempo ou ao final do dia.
• Ebook Segurança da Informação – Saiba como a Plusoft protege os dados de clientes, colaboradores e parceiros.

E contamos com outros documentos internos que garantem a maturidade de todo nosso processo.

• Norma de Gestão de Mudança: o objetivo desta norma é fornecer as diretrizes para processo de Gestão de Mudança da Plusoft, atendendo os aspectos técnicos, organizacionais e os de Segurança da Informação. Com essa política, queremos obter a transparência e segurança nas rotinas de trabalho, mitigando os riscos e impactos no processo de atualização dos artefatos ou componentes dos ativos da infraestrutura da solução de relacionamento com os clientes – ou qualquer outra solução sob à gestão da área de Infraestrutura;
• Plano de Conscientização: este Plano tem como objetivo definir o programa de ações de conscientização de Segurança da Informação a todos os colaboradores Plusoft;
• Política interna de sanção disciplinar: o objetivo desta política consiste em dar ciência e orientar das penalidades, em caso de descumprimento, das diretrizes de Segurança da Informação e ao Código de Ética e Conduta. Para, assim, garantir que todos os envolvidos compartilhem da responsabilidade pelos processos de segurança e assegurem a integridade, disponibilidade e confidencialidade dos ativos de informação. Buscando a melhoria contínua nas atividades relacionadas ao planejamento, execução, análise dos processos/produtos e proteção da segurança das informações geradas;
• Metodologia de melhoria contínua: definição das diretrizes de execução periódica de um processo de melhoria contínua, que busca melhorar os controles existentes ou a viabilidade de novos controles, mitigando as ameaças e os riscos identificados;
• Metodologia de análise de risco: fornecer as diretrizes do processo de gestão de riscos da Segurança da Informação, atendendo aos requisitos de um sistema de gestão de segurança da informação (SGSI) de acordo com a ABNT NBR ISO/IEC 27001. A metodologia define os critérios de identificação e avaliação de riscos, bem como documentar os resultados, válidos e consistentes, dos critérios de aceitação de riscos e identificar os responsáveis;
• Norma de Gestão de Human Experience: esta norma define as diretrizes do processo de seleção, contratação, movimentação e desligamento dos colaboradores sobre gestão da área de infraestrutura ou ambiente corporativo da Plusoft;
• Norma de Desenvolvimento Seguro: visa garantir uma gestão eficiente do processo de desenvolvimento e homologação de software, considerando os requisitos de aquisição, desenvolvimento e manutenção de sistemas de informação abordado na norma ISO 27001;
• Norma de Gestão de Atualizações: esta norma tem como objetivo definir as diretrizes para gestão de atualizações, correções e vulnerabilidades dos ativos, a fim de evitar a exploração de vulnerabilidades técnicas;
• Norma de Gestão de Operações: esta norma tem como objetivo definir as regras e procedimentos para monitoramento, capacidade de operação e administração de ambientes e sistemas de tecnologia da informação;
• Norma de Segurança Física e do Ambiente: este documento fornece as diretrizes para a gestão de acessos da solução de relacionamento com os clientes. A norma também institui regras para o acesso físico a ambientes e áreas que contenham informações e outros ativos associados, atendendo aos requisitos de um sistema de gestão de segurança da informação (SGSI). Dessa forma, garantimos que apenas pessoas autorizadas tenham acesso a dados quando necessário, evitando o acesso não autorizado, dano ou interferências aos sistemas de informações ou áreas de tratamento de informações;
• Norma de Gestão da Informação Documental: o objetivo desta norma é fornecer as diretrizes para a gestão de documentos da Plusoft, atendendo aos aspectos técnicos, organizacionais e de segurança da informação;
• Norma de dispositivos_Endpoint: esta norma complementa a Política de Segurança da Informação para o escopo específico de regulamentar o uso de dispositivos endpoint;
• Norma de uso aceitável de ativos: esta norma define as regras e procedimentos para identificar, tratar e classificar os ativos da organização que estão sob propriedade ou custódia da Plusoft;
• Norma de segurança nas comunicações: definição das regras e procedimentos de segurança nas comunicações que envolvem os ativos da organização, com o principal objetivo de mitigação de riscos ao escopo dos quais os ativos estejam envolvidos
• Norma de Gestão e Classificação da informação: definição das regras e os procedimentos de classificação da informação, documentação e registros. Para, assim, assegurar que as informações de propriedade da Plusoft, ou que estejam sob sua custódia, recebam um nível adequado de proteção e sejam,de acordo com o grau de sigilo, garantidas pela confidencialidade, integridade e disponibilidade;
• Norma de relacionamento com fornecedores e prestadores de serviços: manutenção do nível acordado de segurança da informação nas relações com fornecedores e prestadores de serviços;
• Norma de Gestão de Eventos de Segurança da Informação: fornecimento de diretrizes para o processo de Gestão de Incidentes, atendendo aos requisitos do Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a ABNT NBR ISO/ IEC 27001;
• Norma de controle de acesso: este documento fornece as diretrizes necessárias para a gestão de acessos à solução de relacionamento com os clientes, atendendo aos requisitos de um sistema de gestão de segurança da informação (SGSI). Garantindo dessa forma que usuários autorizados obtenham acesso quando necessário, evitando o acesso não autorizado aos sistemas de informações;
• Norma de Trabalho Remoto: proteção das informações acessadas, tratadas ou armazenadas fora das instalações;
• Plano de Auditoria: estabelecimento do programa de auditorias internas a intervalos planejados, provendo informações sobre como manter um programa de auditoria, incluindo a frequência, métodos, responsabilidades, requisitos de planejamento e relatórios. Este programa de auditoria leva em conta a importância dos processos pertinentes e os resultados de auditorias anteriores;
• Manual do Sistema de Gestão de Segurança da Informação: este manual tem por objetivo estabelecer as diretrizes e o funcionamento do Sistema de Gestão da Segurança da Informação, orientando seus colaboradores a buscar a melhoria contínua nas atividades relacionadas ao planejamento, execução, análise dos seus processos/produtos e proteção da segurança das informações geradas;
• Análise de Impacto: identificar as atividades mais relevantes na Infraestrutura de Produção e avaliar os impactos em casos adversos de contingência ou de desastre;
• SOA-Declaração de Aplicabilidade: esclarecer quais os controles da ISO27001/2022 adotamos em nosso modelo de negócio e quais são os documentos que justificam a adoção ou não de cada controle.