Extrato da Política de Segurança da

Informação

D4Sign 7240dc83-1d74-441b-b7bc-c7403fe88a8c - Para conﬁrmar as assinaturas acesse https://secure.d4sign.com.br/veriﬁcar

Documento assinado eletronicamente, conforme MP 2.200-2/01, Art. 10º, §2. Brasil

EXTRATO DA POLÍTICA DE SEGURANÇA DA

INFORMAÇÃO

PÁGINA

2 DE 9

SUMÁRIO

1. EXTRATO DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO 3

2. DEFINIÇÕES 3

3. OBJETIVOS 4

4. ESCOPO 4

5. PRINCÍPIOS E DIRETRIZES ESSENCIAIS 5

6. RESPONSABILIDADES 8

7. SANÇÕES 8

8. NOTIFICAÇÕES 8

9. CANAIS DE ATENDIMENTO 8

10. APROVAÇÃO 9

D4Sign 7240dc83-1d74-441b-b7bc-c7403fe88a8c - Para conﬁrmar as assinaturas acesse https://secure.d4sign.com.br/veriﬁcar

Documento assinado eletronicamente, conforme MP 2.200-2/01, Art. 10º, §2. Brasil

EXTRATO DA POLÍTICA DE SEGURANÇA DA

INFORMAÇÃO

PÁGINA

3 DE 9

1. EXTRATO DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

O Grupo Brisanet reconhece a informação como um ativo estratégico vital para a

continuidade dos negócios e a proteção dos dados de clientes, colaboradores,

parceiros e demais partes interessadas. Para tanto, estabelece diretrizes,

responsabilidades e controles que assegurem a confidencialidade, integridade e

disponibilidade das informações, em todos os seus formatos e suportes, sejam eles

físicos ou digitais.

Este Extrato de Segurança da Informação foi desenvolvido com base em normas

nacionais e internacionais de boas práticas, requisitos legais aplicáveis e um

compromisso constante com a melhoria dos processos de cibersegurança. Ela

orienta a atuação de todos os colaboradores e parceiros no uso adequado dos ativos

informacionais e no tratamento de dados sensíveis, em conformidade com as

legislações vigentes.

2. DEFINIÇÕES

Alta Administração: São os membros do Conselho de Administração, dos Comitês

de Assessoramento e da Diretoria Executiva, Diretores que se reportam diretamente

ao Diretor-Presidente do Grupo Brisanet.

Ativo: Bens, recursos e informações que geram valor econômico.

Autenticidade: Garantia de que um usuário, sistema ou transação é quem afirma ser.

Colaborador: Inclui, individualmente ou de forma conjunta, todo e qualquer

empregado, jovem aprendiz, estagiário, diretor, administrador ou conselheiro, que de

qualquer forma atue em nome do Grupo Brisanet.

Confidencialidade: Propriedade da informação que restringe o acesso a partes

autorizadas.

Disponibilidade: Garantia de que informações ou sistemas estão acessíveis a

usuários autorizados quando necessário.

Incidente de Segurança da Informação: Evento que indica violação da política de

segurança, falha nos controles ou situação desconhecida relevante para a

segurança.

Integridade: Garantia de que as informações são precisas, completas e protegidas

contra modificações não autorizadas.

3. OBJETIVOS

O Extrato da Política de Segurança da Informação tem os seguintes objetivos:

D4Sign 7240dc83-1d74-441b-b7bc-c7403fe88a8c - Para conﬁrmar as assinaturas acesse https://secure.d4sign.com.br/veriﬁcar

Documento assinado eletronicamente, conforme MP 2.200-2/01, Art. 10º, §2. Brasil

EXTRATO DA POLÍTICA DE SEGURANÇA DA

INFORMAÇÃO

PÁGINA

4 DE 9

a) Proteção dos Ativos de Informação:

i - Proteger os ativos de informação e os dados pessoais tratados pela

organização contra acessos não autorizados, alterações indevidas,

destruição e indisponibilidade.

ii - Prevenir, detectar, responder e notificar adequadamente, quando

aplicável, incidentes de segurança e de proteção de dados, conforme

exigido pela legislação aplicável.

b) Governança e Conformidade:

i - Estabelecer e comunicar claramente as responsabilidades de todos os

envolvidos no tratamento e na proteção das informações e dados

pessoais, promovendo uma cultura organizacional de segurança e

privacidade.

ii - Assegurar o cumprimento de todas as leis, regulamentações e

obrigações contratuais vigentes, com especial atenção à Lei Geral de

Proteção de Dados Pessoais (LGPD) e demais normativos relacionados

à proteção de dados.

iii - Garantir que o tratamento de dados pessoais esteja sempre

fundamentado em bases legais apropriadas, com respeito aos direitos

dos titulares de dados e aos princípios de necessidade e minimização.

c) Conscientização e Continuidade:

i - Promover treinamento e conscientização contínua sobre a importância

da segurança da informação em todos os níveis da organização.

ii - Apoiar a continuidade dos negócios por meio da integração de práticas

de segurança robustas em todos os processos da organização.

4. ESCOPO

Este Extrato se aplica a:

a) Todas as unidades de negócio e instalações da organização.

b) Todos os colaboradores, independentemente do nível hierárquico ou forma de

contratação.

c) Todos os prestadores de serviço, consultores, parceiros, fornecedores e

quaisquer terceiros que tenham acesso às informações ou à infraestrutura do

Grupo Brisanet.

D4Sign 7240dc83-1d74-441b-b7bc-c7403fe88a8c - Para conﬁrmar as assinaturas acesse https://secure.d4sign.com.br/veriﬁcar

Documento assinado eletronicamente, conforme MP 2.200-2/01, Art. 10º, §2. Brasil

EXTRATO DA POLÍTICA DE SEGURANÇA DA

INFORMAÇÃO

PÁGINA

5 DE 9

d) Todos os ativos de informação e recursos tecnológicos da organização,

incluindo dados, sistemas, aplicativos, dispositivos, plataformas e redes de

computadores.

5. PRINCÍPIOS E DIRETRIZES ESSENCIAIS

a) Classificação da Informação:

i - As informações, incluindo dados pessoais e dados pessoais sensíveis,

são classificadas com base em seu grau de sensibilidade e o impacto

potencial de sua divulgação, alteração ou perda, e são tratadas de

acordo com seu nível de criticidade.

b) Controle de Acessos:

i - Os acessos aos ativos de informação são concedidos com base no

princípio do menor privilégio (privilégio mínimo) com autenticação

robusta, autorização adequada e rastreabilidade de todas as ações.

c) Gestão de Ativos:

i - Todos os ativos de informação, incluindo hardware, software,

documentos e dados, são devidamente inventariados, monitorados e

protegidos de acordo com seu valor e nível de sensibilidade.

d) Segurança Física:

i - As instalações e os ambientes críticos são protegidos contra acessos

físicos não autorizados.

e) Gestão de Incidentes de Segurança:

i - A organização possui processos e mecanismos eficazes para identificar,

comunicar, registrar, analisar e responder a eventos e incidentes de

segurança da informação.

f) Continuidade de Negócios:

i - A segurança da informação é parte integrante dos planos de

continuidade de negócios e recuperação de desastres da organização.

g) Comunicação institucional:

i - Toda comunicação institucional, interna ou externa, segue padrões

seguros, padronizados e alinhados à política de segurança da

informação, especialmente no tratamento de informações sensíveis.

D4Sign 7240dc83-1d74-441b-b7bc-c7403fe88a8c - Para conﬁrmar as assinaturas acesse https://secure.d4sign.com.br/veriﬁcar

Documento assinado eletronicamente, conforme MP 2.200-2/01, Art. 10º, §2. Brasil

EXTRATO DA POLÍTICA DE SEGURANÇA DA

INFORMAÇÃO

PÁGINA

6 DE 9

h) Uso de E-mail e Comunicação Instantânea:

i - Uso responsável, seguro e monitorado dos meios de comunicação

corporativos, com ênfase no e-mail.

i) Segurança de Fornecedores:

i - Os contratos com fornecedores incluem cláusulas que garantem a

proteção das informações compartilhadas ou acessadas, incluindo

cláusulas específicas sobre proteção de dados pessoais, conforme a

LGPD. Além disso, devem prever cláusulas de segurança obrigatórias nos

processos de homologação e contratação, contemplando a avaliação de

requisitos técnicos, controles de acesso e práticas de proteção

adotadas pelos fornecedores.

j) Gestão de Mudanças de Sistemas e Tecnologias:

i - Aplicada a análise de impacto, plano de retorno e aprovação formal

prévia para toda e qualquer mudança que envolva sistemas críticos,

infraestrutura ou tecnologias estratégicas.

k) Desenvolvimento Seguro de Aplicativos:

i - Boas práticas de segurança no ciclo de desenvolvimento de software,

incluindo revisão de código, controle de versões, testes de

vulnerabilidade e segregação de ambientes.

l) Cloud/Serviços de Nuvem:

i - A organização define critérios para contratação e o uso seguro de

serviços em nuvem, incluindo criptografia de dados, múltiplos fatores de

autenticação, controle de acesso, e aderência a políticas e normas

internas de segurança.

ii - Quando envolverem dados pessoais, tais serviços devem assegurar

garantias contratuais e jurídicas adequadas, em conformidade com a Lei

Geral de Proteção de Dados (LGPD), incluindo cláusulas que

estabeleçam: responsabilidade pelo tratamento e proteção de dados;

medidas técnicas e organizacionais adotadas pelo fornecedor; as

condições de eventual transferência internacional de dados,

assegurando o atendimento aos requisitos legais e regulatórios

aplicáveis.

m) Uso de IA (Inteligência Artificial):

i - Uso ético e seguro de soluções baseadas em IA, com ênfase em

transparência algorítmica, proteção de dados pessoais e confidenciais, e

mitigação de riscos de vazamento.

D4Sign 7240dc83-1d74-441b-b7bc-c7403fe88a8c - Para conﬁrmar as assinaturas acesse https://secure.d4sign.com.br/veriﬁcar

Documento assinado eletronicamente, conforme MP 2.200-2/01, Art. 10º, §2. Brasil

EXTRATO DA POLÍTICA DE SEGURANÇA DA

INFORMAÇÃO

PÁGINA

7 DE 9

n) Retenção e Descarte da Informação:

i - O Grupo Brisanet aplica critérios de retenção baseados em requisitos

legais e regulatórios (como LGPD e ANPD respectivamente), com

procedimentos claros para o descarte seguro de documentos físicos e

digitais, observando os princípios da necessidade e minimização.

o) Norma de Backup e Recuperação de Dados:

i - Diretrizes para a realização de backups regulares e seguros de dados

corporativos, com processos de retenção, criptografia, testes periódicos

de restauração e responsabilidade clara entre áreas.

p) Treinamento e Conscientização:

i - Colaboradores e parceiros recebem treinamento e orientações

periódicas sobre boas práticas de segurança da informação, riscos,

proteção de dados, privacidade e suas responsabilidades.

q) Privacidade e Proteção de Dados Pessoais:

i - A organização está comprometida com a proteção da privacidade e o

tratamento adequado de dados pessoais, em conformidade com a Lei

Geral de Proteção de Dados (LGPD) e demais regulamentações

vigentes.

As informações detalhadas sobre o tratamento de dados, os direitos dos titulares e

os canais oficiais estão disponíveis em nosso Portal de Privacidade

(https://www.brisanet.com.br/centro-de-privacidade) juntamente com a nossa

Política de Privacidade e os contatos do DPO.

6. RESPONSABILIDADES

a) A responsabilidade pela implementação, monitoramento, manutenção e

evolução contínua da Política de Segurança da Informação é da área de TI e

Cibersegurança do Grupo Brisanet. Cabe a essa área garantir que as diretrizes,

controles e procedimentos estabelecidos sejam aplicados, além de promover

treinamentos, avaliações periódicas e atualização constante das práticas de

segurança cibernética, alinhadas às exigências regulatórias e às necessidades do

negócio.

b) A segurança da informação é uma responsabilidade compartilhada. Todos os

níveis da organização, desde a alta administração até os usuários finais do Grupo

Brisanet, têm responsabilidades específicas relacionadas ao cumprimento e à

promoção desta Política.

D4Sign 7240dc83-1d74-441b-b7bc-c7403fe88a8c - Para conﬁrmar as assinaturas acesse https://secure.d4sign.com.br/veriﬁcar

Documento assinado eletronicamente, conforme MP 2.200-2/01, Art. 10º, §2. Brasil

EXTRATO DA POLÍTICA DE SEGURANÇA DA

INFORMAÇÃO

PÁGINA

8 DE 9

7. SANÇÕES

O descumprimento das disposições estabelecidas nesta Política de Segurança da

Informação sujeitará os responsáveis às medidas disciplinares cabíveis, conforme

previsto nas normas internas da organização, sem prejuízo da aplicação de sanções

civis, administrativas e penais, conforme legislação vigente.

O conteúdo completo da Política de Segurança da Informação está disponível para

consulta interna por meio dos canais oficiais do Grupo Brisanet.

8. NOTIFICAÇÕES

Em caso de incidentes de segurança que impactem os serviços ou a infraestrutura

de telecomunicações, o Grupo Brisanet realizará a notificação à ANATEL, conforme

os critérios regulatórios vigentes, informando o incidente, impacto nos serviços,

ações de contenção e planos de recuperação. Adicionalmente, a comunicação aos

usuários e às demais prestadoras será realizada, quando aplicável, de acordo com a

necessidade e o escopo do incidente, considerando a gravidade, os impactos e as

diretrizes estabelecidas pela ANATEL e pelo Grupo de Trabalho de Cibersegurança

(GT-Ciber).

9. CANAIS DE ATENDIMENTO

Em caso de qualquer dúvida com relação às disposições constantes desta Política

de Segurança da Informação, você poderá entrar em contato por meio dos nossas

Canais de Atendimento:

O Canal de Ética é um meio seguro e confidencial para reportar qualquer conduta

que viole os normativos internos ou externos da Companhia ou que comprometa a

sua integridade. O contato com o Canal de Ética pode ser realizado por:

site: www.brisanet.com.br/canaldeetica

telefone: 0800 517 1051

Qualquer descumprimento desta Política está sujeito aos termos da Política de

Consequências, se colaborador, ou suspensão do contrato de fornecimento de bens

ou prestação de serviços, se terceiro, sem prejuízo de eventual(ais) medida(s)

cabível(eis) na(s) esfera(s) administrativa e/ou cível e/ou criminal.

Dúvidas, solicitações ou demandas relacionadas aos seus dados pessoais podem ser

tratadas diretamente pelo nosso canal de privacidade. Entre em contato pelo e-mail:

lgpd@grupobrisanet.com.br – Lei Geral de Proteção de Dados (LGPD).

Canal de Contato com a Equipe de Segurança da Informação

Site: https://www.brisanet.com.br/seguranca

E-mail: csirt@grupobrisanet.com.br

D4Sign 7240dc83-1d74-441b-b7bc-c7403fe88a8c - Para conﬁrmar as assinaturas acesse https://secure.d4sign.com.br/veriﬁcar

Documento assinado eletronicamente, conforme MP 2.200-2/01, Art. 10º, §2. Brasil

EXTRATO DA POLÍTICA DE SEGURANÇA DA

INFORMAÇÃO

PÁGINA

9 DE 9

Se você identificou alguma vulnerabilidade, ameaça ou possui dúvidas relacionadas

à Segurança da Informação no Grupo Brisanet, entre em contato diretamente com

nossa equipe de Resposta a Incidentes de Segurança (CSIRT) pelo e-mail:

csirt@grupobrisanet.com.br. Este canal também está disponível para

esclarecimentos, sugestões ou informações sobre nossa Política de Segurança da

Informação.

10. APROVAÇÃO

Aprovada na Reunião Ordinária do Conselho de Administração nº 02.2025 -

22/02/2025

Aprovada na Reunião Ordinária de Diretoria nº 07.2025 - 17/02/2025

Data da Publicação: 28/02/2025

D4Sign 7240dc83-1d74-441b-b7bc-c7403fe88a8c - Para conﬁrmar as assinaturas acesse https://secure.d4sign.com.br/veriﬁcar

Documento assinado eletronicamente, conforme MP 2.200-2/01, Art. 10º, §2. Brasil

11 páginas - Datas e horarios baseados em Brasília, Brasil

Sincronizado com o NTP.br e Observatório Nacional (ON)

Certiﬁcado de assinaturas gerado em 10 de March de 2026, 07:46:51

Extrato da Politica Segurança da Informação docx 1 pdf

Código do documento 7240dc83-1d74-441b-b7bc-c7403fe88a8c

Assinaturas

Joao Paulo Estevam

joaopaulo@grupobrisanet.com.br

Assinou

José Roberto Nogueira

roberto@grupobrisanet.com.br

Assinou

Eventos do documento

06 Mar 2026, 09:02:35

Documento 7240dc83-1d74-441b-b7bc-c7403fe88a8c criado por PATRÍCIA DE QUEIROZ CARDOSO (bcce52ad-

ee01-4a47-81a0-b666fb779079). Email:patricia.cardoso@grupobrisanet.com.br. - DATE_ATOM:

2026-03-06T09:02:35-03:00

06 Mar 2026, 09:05:01

PATRÍCIA DE QUEIROZ CARDOSO (bcce52ad-ee01-4a47-81a0-b666fb779079). Email:

patricia.cardoso@grupobrisanet.com.br. REMOVEU o signatário joseroberto@grupobrisanet.com.br -

DATE_ATOM: 2026-03-06T09:05:01-03:00

06 Mar 2026, 09:07:46

Assinaturas iniciadas por PATRÍCIA DE QUEIROZ CARDOSO (bcce52ad-ee01-4a47-81a0-b666fb779079). Email:

patricia.cardoso@grupobrisanet.com.br. - DATE_ATOM: 2026-03-06T09:07:46-03:00

06 Mar 2026, 11:41:18

JOAO PAULO ESTEVAM Assinou (25941824-c954-42a2-85c9-5eaaf0337a0c) - Email:

joaopaulo@grupobrisanet.com.br - IP: 187.19.146.125 (brisa-187-19-146-125.brisanet.net.br porta: 11384) -

Documento de identiﬁcação informado: 889.877.103-78 - DATE_ATOM: 2026-03-06T11:41:18-03:00

09 Mar 2026, 17:58:01

JOSÉ ROBERTO NOGUEIRA Assinou (18b53d3c-9543-4b67-bc25-a2add195ee5b) - Email:

roberto@grupobrisanet.com.br - IP: 187.19.232.78 (187-19-232-78-tmp.static.brisanet.net.br porta: 58056) -

Geolocalização: -6.168553040476201 -38.49019487189791 - Documento de identiﬁcação informado:

429.419.204-63 - DATE_ATOM: 2026-03-09T17:58:01-03:00

11 páginas - Datas e horarios baseados em Brasília, Brasil

Sincronizado com o NTP.br e Observatório Nacional (ON)

Certiﬁcado de assinaturas gerado em 10 de March de 2026, 07:46:51

Hash do documento original

(SHA256):a67346527fb04042be0c51d9a6de64d16fed410ca5d50b2d5e2045b17f068583

(SHA512):2cf43d4eda71852a63a9fdd08ceb198b09cf1c84d82d2f4e816393d6cc91464284f6b9e5439aefb728c520596202379803b3a129cbb66d55f29dfd1da50c4076

Esse log pertence única e exclusivamente aos documentos de HASH acima

Esse documento está assinado e certiﬁcado pela D4Sign

Integridade certiﬁcada no padrão ICP-BRASIL

Assinaturas eletrônicas e físicas têm igual validade legal, conforme MP 2.200-2/2001 e Lei

14.063/2020.