Nossas práticas de segurança de dados estão em conformidade com a Sarbanes-Oxley, Regulamento Geral de Proteção de Dados da UE (GDPR) e as políticas internas da Greif, incluindo Política de Gestão e Retenção de Registros, Política de Privacidade de Dados, política de segurança da informação e política de aquisição e gastos de TI. A segurança é uma responsabilidade compartilhada por toda a organização, liderada pelo Diretor de Tecnologia (CTO), com a segurança cibernética, em particular, sob a responsabilidade do Diretor de Informação e Digital. O CTO da Greif fornece ao Conselho e ao Comitê de Auditoria atualizações periódicas relacionadas à segurança. Os executivos da Greif também recebem atualizações por meio de um painel de segurança cibernética compartilhado trimestralmente com a Equipe de Gerenciamento de Riscos Corporativos e o Conselho da Greif. O painel rastreia nosso desempenho usando o Instituto Nacional de Padrões e Tecnologia Estrutura de Segurança Cibernética como referência. A equipe de Tecnologia da Informação da Greif também desempenha um papel na segurança geral dos dados, conduzindo auditorias anuais para processos de controle de TI e simulações mensais de phishing e artigos de conscientização, aumentando de trimestral em 2021.

Caso a Greif seja vítima de uma violação de segurança cibernética, mantemos um Plano de Resposta e Incidente Cibernético e um Plano de Continuidade de Negócios Global de Serviços de TI, que descreve nossas etapas para responder e mitigar o impacto de um incidente rapidamente. A linha direta de ética da Greif está disponível para suspeitas de violações de dados para todos os colegas, e uma opção de relatório automático de phishing está disponível para todos os colegas com acesso a e-mail. Trabalhamos com associações e consórcios regionais e do setor para dar suporte ao compartilhamento de conhecimento de resposta a incidentes, continuidade de negócios e melhores práticas de segurança cibernética.

O treinamento é uma parte vital do programa de segurança cibernética da Greif. O treinamento de conscientização e segurança cibernética ajuda a melhorar a capacidade de nossos colegas de identificar e responder a ameaças potenciais e minimizar riscos em espaços digitais e físicos. Treinamos colegas sobre ataques de phishing, higiene de segurança cibernética e segurança geral na Internet, entre outros tópicos. Após concluir o treinamento, todos os colegas devem realizar uma verificação trimestral, garantindo que o conhecimento seja retido e praticado. Este treinamento é obrigatório para todos os colegas com acesso a computadores, incluindo nossa Equipe de Liderança Executiva. Nossos colegas também recebem boletins trimestrais promovendo a conscientização sobre segurança cibernética, dicas semanais de segurança sobre tópicos que vão desde segurança de senha até como evitar golpes de phishing e conexões com palestrantes externos de segurança por meio da Greif University. Eles também participam de nossa campanha anual de conscientização do Mês da Segurança Cibernética todo mês de outubro. A Greif trabalha com um parceiro terceirizado para implementar essas iniciativas de treinamento, e a pontuação geral de propensão a phishing da Greif é 11% melhor do que a média do nosso setor para fabricantes de grande porte.

Todo mês, membros da Cybersecurity, Recursos Humanos e do Departamento Jurídico se reúnem para discutir a conformidade com as regulamentações atuais e emergentes de segurança de dados e privacidade. Monitoramos mudanças regulatórias e ações necessárias para garantir a conformidade. Para proteger os dados do cliente, seguimos um modelo de necessidade de saber para limitar o número de pessoas com acesso a informações seguras, tanto interna quanto externamente. Além disso, para garantir o gerenciamento sólido de dados confidenciais, obtemos consentimento por meio de acordos e cláusulas contratuais e cumprimos todas as regulamentações relevantes. Implementamos soluções de software para proteger e criptografar nossos endpoints para limitar nossa exposição a potenciais violações de dados, e continuamos a educar colegas sobre nossas políticas de Gerenciamento e Retenção de Registros e Privacidade de Dados. Para cumprir ainda mais com o GDPR, conduzimos treinamento GDPR para nossos colegas na Europa, Oriente Médio e África. Além disso, destruímos rotineiramente e com segurança hardware e cópias impressas com informações confidenciais com provedores de serviços verificados.

Instalamos leitores de etiquetas e travas de código PIN para proteger o acesso físico em nossas instalações, e um conhecimento de embarque é necessário para cada remessa retirada de nossas instalações. Além disso, invólucros invioláveis são usados em toda a cadeia de suprimentos para dar aos clientes a confiança de que seus produtos estão protegidos e seguros.