Este documento foi desenvolvido para minimizar os riscos associados com a Tecnologia da Informação, indicando cuidados e condutas esperadas no uso de equipamentos e softwares, inclusive a finalidade do uso de equipamentos e estrutura tecnológica.

A Política de Segurança da Informação da ZALLPY, consiste em um documento que estabelece e orienta as diretrizes corporativas que visam à proteção dos ativos de informação, físicos e lógicos, de modo seguro e transparente, garantindo a disponibilidade, integridade e confidencialidade, se comprometendo em atender os requisitos operacionais, contratuais e sigilo das informações neles contidas, de forma alinhada aos requisitos legais e exigências dos Órgãos Regulatórios aplicáveis ao negócio da ZALLPY promovendo a melhoria contínua no seu Sistema de Gestão de Segurança da Informação.

Essa política presenta orientações que irão auxiliar a identificar, avaliar, monitorar, combater e tratar ou mitigar os principais fatores que geram riscos cibernéticos e de segurança da informação. Deve, portanto, ser respeitado e aplicado em todas as áreas da organização.

Os princípios da Segurança da Informação da ZALLPY abrangem, basicamente, os seguintes aspectos:

• Integridade: Garantir a preservação, consistência e confiabilidade das informações e sistemas da empresa. Certificando-se que nenhuma interferência externa possa corrompê-los, comprometê-los ou danificá-los;

• Confidencialidade: Garantir o resguardo das informações em confiança e proteção contra a sua revelação não autorizada;

• Disponibilidade: Garantir que a informação estará acessível para acesso no momento necessário, tem como característica a eficácia do sistema.

Todos que necessitem acessar os ativos e informações da ZALLPY devem respeitar a classificação dos dados e informação atribuída pela ZALLPY, devendo tratar os dados e informações da ZALLPY e seus clientes como confidenciais, exceto quando classificadas pela ZALLPY como PÚBLICAS.

Todos os dados e informações de propriedade da ZALLPY devem ser protegidos desde o momento da sua criação, modificação, subtração, destruição ou divulgação e, portanto, orientamos a utilização de procedimentos que garantam: Integridade, Confidencialidade, Disponibilidade, Autenticação e Rastreabilidade.

Compete a área de Segurança da Informação:

• Definir e manter as diretrizes atualizadas e disponíveis;

• Realizar o levantamento e o apoio ao tratamento de riscos;

• Realizar e apoiar auditorias, quando aplicável.

Compete a todos os Clientes e Fornecedores:

• Seguir todas as diretrizes definidas nesta política e demais políticas aplicáveis, as quais estarão atualizadas e disponíveis para consulta a qualquer momento.

Compete ao Jurídico:

• Estabelecer cláusulas para a preservação da confidencialidade, propriedade intelectual, o sigilo as informações e a proteção de dados pessoais (LGPD) que devem ser respeitadas e cumpridas antes, durante e após a prestação dos serviços dos fornecedores através de acordos entre as partes envolvidas.

A ZALLPY, por meio da Gerência de Tecnologia da Informação, poderá registrar todo o uso dos sistemas e serviços, visando garantir a disponibilidade e a segurança das informações utilizadas.

Toda informação gerada ou recebida pelos agentes envolvidos, como resultado da atividade profissional contratada pela ZALLPY, pertence à referida organização. As exceções devem ser explícitas e formalizadas.

É obrigação de cada agente manter-se atualizado em relação a esta política e aos procedimentos e normas relacionadas, buscando orientação do seu gestor de contrato ou da Gerência de Tecnologia da Informação sempre que não estiver absolutamente seguro quanto ao tratamento das informações.

Esta política deverá ser revisada e atualizada periodicamente, dentro do período de 01 ano, ou sempre que algum fato relevante ou evento motive sua revisão antecipada, conforme análise e decisão do Comitê de Governança.

Deverá constar em todos os contratos da ZALLPY o anexo de Acordo de Confidencialidade ou Cláusula de Confidencialidade (NDA), como condição imprescindível para que possa ser concedido o acesso aos ativos de informação disponibilizados pela instituição.

A responsabilidade em relação à segurança da informação deve ser comunicada na fase de contratação dos colaboradores, fornecedores e celebração de contratos. Todos os agentes envolvidos devem ser orientados sobre os procedimentos de segurança, bem como o uso correto dos ativos, a fim de reduzir possíveis riscos. Eles devem assinar um termo de responsabilidade.

Todo incidente que afete a segurança da informação deverá ser comunicado inicialmente à Gerência de Tecnologia da Informação e ela, se julgar necessário, deverá encaminhar posteriormente ao Comitê de Governança para análise.

Deverão ser criados e instituídos controles apropriados, trilhas de auditoria ou registros de atividades, em todos os pontos e sistemas em que a instituição julgar necessário para reduzir os riscos dos seus ativos de informação como, por exemplo, nas estações de trabalho, notebooks, nos acessos à internet, no correio eletrônico, nos sistemas comerciais e financeiros desenvolvidos pela ZALLPY ou por terceiros.

A ZALLPY reserva-se ao direito de analisar dados e evidências para obtenção de provas a serem utilizadas nos processos investigatórios, bem como adotar as medidas legais cabíveis.

As diretrizes, programas, códigos de conduta, normas internas e políticas estabelecidas pela ZALLPY devem ser cumpridas integralmente.

Os prestadores de serviços deverão garantir, no mínimo, que todos os seus colaboradores associados ao serviço prestado tomaram conhecimento e se comprometem a obedecer ao descrito na presente política. A ZALLPY poderá solicitar, em qualquer momento, evidências do processo de divulgação destas informações.

O gestor do contrato deve ser comunicado na identificação de quaisquer riscos ou incidentes que possam causar impacto à segurança e a privacidade das informações.

Documentos e registros que demonstrem e evidenciem o atendimento dos requisitos definidos em contrato e das diretrizes estabelecidas em políticas internas da ZALLPY devem ser apresentados sempre que necessário.

Ao utilizar os bens e as instalações da ZALLPY os cuidados necessários para a conservação do patrimônio devem ser adotados. É dever de todos zelar pela proteção dos ativos e ter hábitos que evitam os desperdícios de forma geral.

Os prestadores de serviços, quando aplicável, deverão possuir Plano de Contingência e Plano de Recuperação de Desastres para garantir a continuidade dos serviços contratados, com a mesma qualidade e dentro dos prazos acordados com a ZALLPY, revisados e testados anualmente.

Quando e onde aplicável, os prestadores de serviços deverão possuir Política de Backup bem como procedimentos de monitoramento e restauração, incluindo testes periódicos para avaliação de integridade, devendo ser apresentados sempre que solicitados pela ZALLPY para fins de auditoria.

Eventuais dúvidas sobre esta Política, bem como o tratamento de dados, podem ser tratadas com o nosso Encarregado pela Proteção de Dados Pessoais, Luis Ladereche, por meio do botão 'Contate o DPO' disponibilizado no rodapé, ou pelo e-mail dpo@zallpy.com. Ele está à disposição em dias úteis das 9h às 18h e você receberá uma resposta no prazo máximo de 10 dias úteis.

O não cumprimento dos requisitos previstos nesta PSI e das Normas de Segurança da Informação sujeitará o usuário às medidas administrativas e legais cabíveis em observância às disposições da Lei Geral de Proteção de Dados (LGPD) - Lei 13.709/2018 - que regulamenta a proteção de dados pessoais visando proteger os direitos de liberdade/privacidade e às disposições das Leis Trabalhistas vigentes no país.

Data de vigência: 18/08/2025, rev.: 03.