POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
A PINA DOS SANTOS DELEZZOTTE EIRELI.
1. ASPECTOS PRELIMINARES.
Com o objetivo de se adequar à Lei Geral de Proteção de Dados (Lei nº 13.709/2018), que estabelece regras para tratamento de dados e proteção de dados de clientes, fornecedores, funcionários e parceiros, a empresa A PINA DOS SANTOS DELEZZOTTE EIRELI implementa esta Política de Segurança da Informação (PSI).
Salienta-se que, sempre que houver preenchimento de cadastro/formulário para coleta de informações para cumprimento de obrigações legais ou para fins de práticas comerciais os dados do titular, deverão ser seguidas as regras aqui estabelecidas.
2. DA SEGURANÇA DE INFORMAÇÃO.
A empresa tem como compromisso e responsabilidade a construção de confiança com todos os colaboradores e parceiros, fornecedores, clientes, entes governamentais e a comunidade. Por isso, estabeleceu a implantação, a aplicação e a revisão periódica das diretrizes descritas nesta PSI.
A PSI tem como objetivos centrais:
a) Estabelecer diretrizes que permitam aos colaboradores da empresa seguirem padrões de comportamento relacionados à segurança da informação, adequados às necessidades de negócio e de proteção legal da empresa e do indivíduo;
b) Nortear a definição de normas e procedimentos específicos de segurança da informação;
c) Preservar as informações da empresa quanto à integridade (manutenção da informação em seu estado original), confidencialidade (acesso restrito a pessoas autorizadas) e disponibilidade (garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário).
A fim de dar efetividade aos objetivos, todos os ambientes, sistemas, computadores e redes da empresa poderão ser monitorados, registrados e gravados, conforme previsto na legislação brasileira.
Além disso, os equipamentos de informática e comunicação, sistemas e informações são utilizados pelos colaboradores para a realização das atividades profissionais. O uso pessoal dos recursos é permitido desde que não prejudique o desempenho dos sistemas e serviços.
Finalmente, em regra, todas as informações produzidas ou recebidas pelos colaboradores como resultado da atividade profissional pertencem exclusivamente à A PINA DOS SANTOS DELEZZOTTE EIRELI; as exceções devem ser explícitas e formalizadas em contrato entre as partes.
3. PRÁTICAS EM PLATAFORMAS VIRTUAIS – DO CONSENTIMENTO PARA UTILIZAÇÃO DE COOKIES.
A empresa A PINA DOS SANTOS DELEZZOTTE EIRELI utiliza cookies, ferramentas que auxiliam na adaptação de anúncios e que buscam melhorar a experiência do usuário em seu site. Ao clicar em “entendi”, o usuário concorda com a Política de Privacidade da empresa.
Cookies são pequenos arquivos de texto que contém dados inseridos no dispositivo eletrônico (computador, telefone celular, tablet) do usuário enquanto ele utiliza sites e aplicativos.
Com os cookies, a empresa é capaz de: acompanhar preferências e encaminhar anúncios de produtos que podem ser do interesse do usuário; verificar quais itens estão armazenados no carrinho virtual de compras; melhorar o conteúdo, os produtos e os serviços oferecidos no site; aprimorar a segurança da navegação e, com isso, impedir fraudes e monitorar estatísticas.
Essencialmente, os cookies possuem uma data de expiração pré-definida nos navegadores do usuário, e em sua grande maioria são excluídos automaticamente quando o usuário fecha o navegador (chamados de cookies de sessão), enquanto alguns podem ser armazenados por mais tempo no computador, até que sejam excluídos manualmente (chamados de cookies persistentes). Quanto aos tipos, utilizamos os seguintes:
A rejeição ou desabilitação do uso de cookies impede que o usuário adicione itens ao carrinho virtual de compras ou use produtos/serviços que exijam login no site da empresa.
Os cookies não são armazenados de forma definitiva em nenhum banco de dados da empresa, não havendo armazenamento de nenhum dado sensível.
4. DO CONSENTIMENTO PARA TRATAMENTO DE DADOS PESSOAIS DE CLIENTES.
O fornecedor dos dados, conforme cadastro prévio realizado presencialmente ou virtualmente para realização de compras e recebimento de informações, aqui denominado(a) como TITULAR, declara que AUTORIZA que a empresa A PINA DOS SANTOS DELEZZOTTE EIRELI, pessoa jurídica de direito privado, inscrita no CNPJ sob o número 30.578.948/0001-90, aqui denominada CONTROLADORA, disponha dos meus dados pessoas e dados pessoais sensíveis, de acordo com os artigos 7º e 11 da Lei número 13.709/2018.
O(A) TITULAR autoriza a empresa CONTROLADORA a utilizar os seguintes dados pessoais, para os fins que serão relacionados na Cláusula segunda:
O(A) TITULAR autoriza que a empresa CONTROLADORA utilize os dados pessoais e os dados pessoais sensíveis listados neste “Termo de Consentimento” para as seguintes finalidades, sempre observando a boa-fé e os princípios elencados no artigo 6º da Lei 13.709/2018 (finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização e prestação de contas):
Caso haja alterações finalidades e que elas estejam em desacordo com o consentimento original, a empresa CONTROLADORA deverá comunicar o(a) TITULAR, que poderá revogar o consentimento.
A empresa CONTROLADORA se responsabiliza por manter medidas de segurança, técnicas e administrativas suficientes a proteger os dados pessoais do(a) TITULAR e à Autoridade Nacional de Proteção de Dados (ANPD), comunicando ao(à) TITULAR caso ocorra algum incidente de segurança que possa acarretar risco ou dano relevante, conforme artigo 48 da Lei número 13.709/2018.
A empresa CONTROLADORA fica autorizada a manter e utilizar os dados do(a) TITULAR durante o período de seu tratamento, no âmbito e nos limites técnicos das atividades, e ainda após o término das atividades, para cumprimento de obrigação legal ou impostas por órgãos de fiscalização, nos termos do artigo 16 da Lei número 13.709/2018.
O(A) TITULAR poderá revogar seu consentimento, a qualquer tempo, por e-mail ou por carta escrita, conforme o artigo 8°, § 5°, da Lei número 13.709/2018. No entanto, o(a) TITULAR fica ciente de que, mesmo com a revogação, a empresa CONTROLADORA poderá permanecer utilizando seus dados para as seguintes finalidades:
As partes poderão entrar em acordo, quanto aos eventuais danos causados, caso exista o vazamento de dados pessoais ou acessos não autorizados, e caso não haja acordo, a empresa CONTROLADORA tem ciência que estará sujeita às penalidades previstas no artigo 52 da Lei número 13.709/2018.
5. CONSENTIMENTO PARA USO DE IMAGEM – FUNCIONÁRIOS.
A empresa poderá utilizar a imagem de seus funcionários, seja por meio de fotografias, vídeos e/ou quaisquer outras formas de mídia, podendo vincular sua imagem e/ou seu nome em redes sociais, divulgações, campanhas publicitárias, produções fotográficas/audiovisuais, em materiais impressos, publicações internas e/ou externas e/ou outros dessa natureza, desde que o funcionário concorde e firme um termo de consentimento.
No momento em que o termo for firmado, será reiterado ao funcionário que a autorização de uso de imagem é concedida gratuitamente e por prazo indeterminado, sem qualquer limitação quanto ao território e à forma de divulgação. Também será cientificado que poderá requerer a revogação, a qualquer tempo, da autorização.
6. REQUISITOS DA PSI.
Para a implementação da PSI, deverão ser observados os seguintes requisitos:
a) Comunicação da PSI a todos os colaboradores da empresa, a fim de que a política seja cumprida dentro e fora da empresa, com orientação sobre os procedimentos de segurança, bem como o uso correto dos ativos, a fim de reduzir possíveis riscos;
b) Revisão e atualização periódicas da PSI ou sempre que houver fato ou evento relevantes que motivem adequações, com a posterior ciência de todos os colaboradores da empresa;
c) Todo incidente que afete a segurança da informação deverá ser comunicado à empresa para análise e providências;
d) Implantação e testagem anuais de plano de contingência e continuidade dos principais sistemas e serviços;
e) Todos os requisitos de segurança da informação, incluindo a necessidade de planos de contingência, devem ser identificados na fase de levantamento de escopo de um projeto ou sistema, e justificados, acordados, documentados, implantados e testados durante a fase de execução;
f) Deverão ser criados e instituídos controles apropriados, trilhas de auditoria ou registros de atividades, em todos os pontos e sistemas em que a instituição julgar necessário para reduzir os riscos dos seus ativos de informação como, por exemplo, nas estações de trabalho, notebooks, nos acessos à internet, no correio eletrônico, nos sistemas comerciais e financeiros desenvolvidos pela empresa ou por terceiros;
g) Os ambientes de produção devem ser segregados e rigidamente controlados, garantindo o isolamento necessário em relação aos ambientes de desenvolvimento, testes e homologação;
A empresa exonera-se de toda e qualquer responsabilidade decorrente do uso indevido, negligente ou imprudente dos recursos e serviços concedidos aos seus colaboradores, reservando-se o direito de analisar dados e evidências para obtenção de provas a serem utilizadas nos processos investigatórios, bem como adotar as medidas legais cabíveis.
Esta PSI será implementada por meio de procedimentos específicos, obrigatórios para todos os colaboradores, independentemente do nível hierárquico ou da função na empresa, bem como de vínculo empregatício ou prestação de serviço.
É obrigação de todo colaborador se manter atualizado em relação a esta PSI e aos procedimentos e normas relacionados, buscando orientação de seu gestor sempre que não estiver absolutamente seguro quanto à aquisição, ao uso e/ou ao descarte de informações.
Além disso, o não cumprimento dos requisitos previstos nesta PSI e das Normas de Segurança da Informação acarretará violação às regras internas da empresa e sujeitará o usuário às medidas administrativas e legais cabíveis.
7. RESPONSABILIDADES ESPECÍFICAS.
A seguir, a empresa delineia as responsabilidades específicas dos agentes que se relacionam com o procedimento ora regulamentado:
a) Colaborador em geral: ele, que é toda e qualquer pessoa física, contratada via CLT ou prestadora de serviço por intermédio de pessoa jurídica ou não, que exerça alguma atividade relacionada à empresa, deve saber que é de sua inteira responsabilidade todo prejuízo e/ou dano que causar à empresa ou a terceiros em decorrência da não obediência às diretrizes e normas aqui referidas.
b) Colaboradores temporários: devem entender os riscos associados à sua condição especial e cumprir rigorosamente o que está previsto no aceite concedido pelo comitê responsável pela gestão da segurança da informação. A concessão poderá ser revogada a qualquer tempo se for verificado que a justificativa de motivo de negócio não mais compensa o risco relacionado ao regime de exceção ou se o colaborador que o recebeu não estiver cumprindo as condições definidas no aceite.
c) Gestores de pessoas e/ou processos: devem ter postura exemplar em relação à segurança da informação; devem atribuir aos colaboradores, na fase de contratação e de formalização dos contratos individuais de trabalho, de prestação de serviços ou de parceria, a responsabilidade do cumprimento da PSI; devem exigir dos colaboradores a assinatura do Termo de Compromisso e Ciência, assumindo o dever de seguir as normas estabelecidas, bem como se comprometendo a manter sigilo e confidencialidade, mesmo quando desligado, sobre todos os ativos de informações da empresa; antes de conceder acesso às informações da organização, devem exigir a assinatura do Acordo de Confidencialidade dos colaboradores casuais e prestadores de serviços que não estejam cobertos por um contrato existente, por exemplo, durante a fase de levantamento para apresentação de propostas comerciais; devem adaptar as normas, os processos, procedimentos e sistemas sob sua responsabilidade para atender a esta PSI.
d) Custodiantes da informação
Área de tecnologia da informação: devem testar a eficácia dos controles utilizados e informar aos gestores os riscos residuais; devem acordar com os gestores o nível de serviço que será prestado e os procedimentos de resposta aos incidentes; devem configurar os equipamentos, ferramentas e sistemas concedidos aos colaboradores com todos os controles necessários para cumprir os requerimentos de segurança estabelecidos por esta PSI; devem segregar as funções administrativas e operacionais a fim de restringir ao mínimo necessário os poderes de cada indivíduo e eliminar, ou ao menos reduzir, a existência de pessoas que possam excluir os logs e trilhas de auditoria das suas próprias ações; devem garantir segurança especial para sistemas com acesso público, fazendo guarda de evidências que permitam a rastreabilidade para fins de auditoria ou investigação; devem gerar e manter as trilhas para auditoria com nível de detalhe suficiente para rastrear possíveis falhas e fraudes; para as trilhas geradas e/ou mantidas em meio eletrônico, implantar controles de integridade para torná-las juridicamente válidas como evidências; devem administrar, proteger e testar as cópias de segurança dos programas e dados relacionados aos processos críticos e relevantes para a empresa; devem implantar controles que gerem registros auditáveis para retirada e transporte de mídias das informações custodiadas pela TI, nos ambientes totalmente controlados por ela; devem planejar, implantar, fornecer e monitorar a capacidade de armazenagem, processamento e transmissão necessários para garantir a segurança requerida pelas áreas de negócio; devem atribuir cada conta ou dispositivo de acesso a computadores, sistemas, bases de dados e qualquer outro ativo de informação a um responsável identificável como pessoa física, sendo que: os usuários (logins) individuais de funcionários serão de responsabilidade do próprio funcionário e os usuários (logins) de terceiros serão de responsabilidade do gestor da área contratante; devem garantir que não sejam introduzidas vulnerabilidades ou fragilidades no ambiente de produção da empresa em processos de mudança, sendo ideal a auditoria de código e a proteção contratual para controle e responsabilização no caso de uso de terceiros; devem definir as regras formais para instalação de software e hardware em ambiente de produção corporativo, exigindo o seu cumprimento dentro da empresa; devem realizar auditorias periódicas de configurações técnicas e análise de riscos; devem responsabilizar-se pelo uso, manuseio, guarda de assinatura e certificados digitais; devem garantir, da forma mais rápida possível, com solicitação formal, o bloqueio de acesso de usuários por motivo de desligamento da empresa, incidente, investigação ou outra situação que exija medida restritiva para fins de salvaguardar os ativos da empresa; devem garantir que todos os servidores, estações e demais dispositivos com acesso à rede da empresa operem com o relógio sincronizado com os servidores de tempo oficiais do governo brasileiro; devem monitorar o ambiente de TI, gerando indicadores e históricos de: uso da capacidade instalada da rede e dos equipamentos, tempo de resposta no acesso à internet e aos sistemas críticos da empresa, períodos de indisponibilidade no acesso à internet e aos sistemas críticos da empresa, incidentes de segurança (vírus, trojans, furtos, acessos indevidos, e assim por diante) , atividade de todos os colaboradores durante os acessos às redes externas, inclusive internet (por exemplo: sites visitados, e-mails recebidos/enviados, upload/download de arquivos, entre outros).
Os administradores e operadores dos sistemas computacionais podem, pela característica de seus privilégios como usuários, acessar os arquivos e dados de outros usuários. No entanto, isso só será permitido quando for necessário para a execução de atividades operacionais sob sua responsabilidade como, por exemplo, a manutenção de computadores, a realização de cópias de segurança, auditorias ou testes no ambiente.
O gestor da informação deve ser previamente informado sobre o fim do prazo de retenção, para que tenha a alternativa de alterá-lo antes que a informação seja definitivamente descartada pelo custodiante.
Quando ocorrer movimentação interna dos ativos de TI, garantir que as informações de um usuário não serão removidas de forma irrecuperável antes de disponibilizar o ativo para outro usuário.
Área de segurança da informação: devem propor as metodologias e os processos específicos para a segurança da informação, como avaliação de risco e sistema de classificação da informação; devem propor e apoiar iniciativas que visem à segurança dos ativos de informação da empresa; devem publicar e promover as versões da PSI e as Normas de Segurança da Informação aprovadas pelo Comitê de Segurança da Informação; devem promover a conscientização dos colaboradores em relação à relevância da segurança da informação para o negócio da empresa, mediante campanhas, palestras, treinamentos e outros meios de endomarketing; devem apoiar a avaliação e a adequação de controles específicos de segurança da informação para novos sistemas ou serviços; devem analisar criticamente incidentes em conjunto com o Comitê de Segurança da Informação; devem apresentar as atas e os resumos das reuniões do Comitê de Segurança da Informação, destacando os assuntos que exijam intervenção do próprio comitê ou de outros membros da diretoria; devem manter comunicação efetiva com o Comitê de Segurança da Informação sobre assuntos relacionados ao tema que afetem ou tenham potencial para afetar a empresa; devem buscar alinhamento com as diretrizes corporativas da organização.
Da equipe responsável pela gestão da segurança da informação: deve ser formalmente constituída por colaboradores com nível hierárquico mínimo gerencial, nomeados para participar do grupo pelo período de um ano; deverá reunir-se formalmente pelo menos uma vez a cada seis meses. Reuniões adicionais devem ser realizadas sempre que for necessário deliberar sobre algum incidente grave ou definição relevante para a empresa; poderá utilizar especialistas, internos ou externos, para apoiarem nos assuntos que exijam conhecimento técnico específico.
Cabe à comitê: propor investimentos relacionados à segurança da informação com o objetivo de reduzir mais os riscos; propor alterações nas versões da PSI e a inclusão, a eliminação ou a mudança de normas complementares; avaliar os incidentes de segurança e propor ações corretivas; definir as medidas cabíveis nos casos de descumprimento da PSI e/ou das Normas de Segurança da Informação complementares.
8. COMO A EMPRESA UTILIZA OS DADOS.
A empresa utiliza os dados fornecidos para realização de rotinas gerenciais e comerciais, como realização de vendas, contratações e formalização, de entrega de produtos, montagem e manutenção de produtos, controle da qualidade dos serviços prestados ou comercializados pela empresa, emissão de documentos fiscais, controle financeiro, análise de crédito, inserção de restrições comerciais, como medidas de prevenção a fraudes e ilícitos, solucionar problemas técnicos operacionais, além de exigências legais correspondentes a execução de atividades empresariais, promoção do serviço de atendimento ao cliente/consumidor.
Também utiliza os dados para desenvolvimento das rotinas internas da empresa, a fim de personalizar, aperfeiçoar e otimizar o atendimento ao cliente, parceiro, fornecedor ou colaborador, também desenvolvendo melhorias e funcionalidades em nosso método de atendimento.
9. COMPARTILHAMENTO DE DADOS.
Depois de armazenados, os dados pessoais e necessários por decorrências legais podem ser compartilhados com outras filiais, prestadores de serviços, parceiros, órgãos de crédito, empresas que atuam no mercado de finanças, órgãos reguladores, sem jamais realizar a comercialização dessas informações. Detalha-se, a seguir, a síntese do compartilhamento de dados pessoais:
10. MONITORAMENTO E AUDITORIA DO AMBIENTE.
Para garantir a observância às regras mencionadas nesta PSI, a empresa poderá:
a) Implantar sistemas de monitoramento nas estações de trabalho, servidores, correio eletrônico, conexões com a internet, dispositivos móveis ou wireless e outros componentes da rede, de modo que a informação gerada por esses sistemas poderá ser usada para identificar usuários e respectivos acessos efetuados, bem como material manipulado;
b) Tornar públicas as informações obtidas pelos sistemas de monitoramento e auditoria, no caso de exigência judicial, solicitação do gerente (ou superior) ou por determinação do comitê responsável pela gestão da segurança da informação;
c) Realizar, a qualquer tempo, inspeção física nas máquinas de sua propriedade;
d) Instalar sistemas de proteção, preventivos e detectáveis, para garantir a segurança das informações e dos perímetros de acesso.
11. ADVERTÊNCIAS/PENALIDADES.
Caso o funcionário ou o prestador de serviço não cumpra as regras descritas nesta PSI, será penalizado de forma escalonada: inicialmente, deverá ser advertido verbalmente; na sequência, será aplicada advertência por escrito; finalmente, havendo novo descumprimento, a penalidade a ser aplicada poderá ser a rescisão do contrato por justa causa.
12. UTILIZAÇÃO DE E-MAIL.
O uso do e-mail da empresa deve se dar para fins corporativos e relacionados às atividades do colaborador usuário dentro da organização.
As mensagens encaminhadas pelo e-mail sempre deverão incluir assinatura com as seguintes informações: nome do colaborador; gerência ou departamento; nome da empresa; telefone(s); correio eletrônico.
O uso do e-mail é proibido nas seguintes situações:
a) enviar mensagens não solicitadas para múltiplos destinatários, exceto se relacionadas a uso legítimo da organização;
b) enviar mensagem por correio eletrônico pelo endereço de seu departamento ou usando o nome de usuário de outra pessoa ou endereço de correio eletrônico que não esteja autorizado a utilizar;
c) enviar qualquer mensagem por meios eletrônicos que torne seu remetente e/ou a empresa ou suas unidades vulneráveis a ações civis ou criminais;
d) divulgar informações não autorizadas ou imagens de tela, sistemas, documentos e afins sem autorização expressa e formal concedida pelo proprietário desse ativo de informação;
e) falsificar informações de endereçamento, adulterar cabeçalhos para esconder a identidade de remetentes e/ou destinatários, com o objetivo de evitar as punições previstas;
f) pagar mensagens pertinentes de correio eletrônico quando qualquer uma das unidades da empresa estiver sujeita a algum tipo de investigação;
g) produzir, transmitir ou divulgar mensagem que:
13. UTILIZAÇÃO DE INTERNET E DE RECURSOS TECNOLÓGICOS.
Com esta PSI, busca-se o desenvolvimento de um comportamento eminentemente ético e profissional do uso da internet e dos equipamentos tecnológicos fornecidos pela empresa.
Por isso, a empresa, ao monitorar a rede interna, pretende garantir a integridade dos dados e programas. Toda tentativa de alteração dos parâmetros de segurança, por qualquer colaborador, sem o devido credenciamento e a autorização para tal, será julgada inadequada e os riscos relacionados serão informados ao colaborador e ao respectivo gestor. O uso de qualquer recurso para atividades ilícitas e/ou inadequadas poderá acarretar as ações administrativas e as penalidades decorrentes de processos civil e criminal, sendo que nesses casos a organização cooperará ativamente com as autoridades competentes.
Importante ressaltar que qualquer informação que é acessada, transmitida, recebida ou produzida na internet está sujeita a divulgação e auditoria, estando a empresa autorizada a monitorar e realizar registros.
Somente os colaboradores que estão devidamente autorizados a falar em nome da empresa para os meios de comunicação poderão manifestar-se, seja por e-mail, entrevista on-line, podcast, seja por documento físico, entre outros e somente os colaboradores autorizados pela organização poderão copiar, captar, imprimir ou enviar imagens da tela para terceiros, devendo atender à norma interna de uso de imagens, à Lei de Direitos Autorais, à proteção da imagem garantida pela Constituição Federal e demais dispositivos legais.
No uso da internet, são proibidas as seguintes condutas: divulgação e/ou o compartilhamento indevido de informações da área administrativa em listas de discussão, sites ou comunidades de relacionamento, salas de bate-papo ou chat, comunicadores instantâneos ou qualquer outra tecnologia correlata que venha surgir na internet; o uso, a instalação, a cópia ou a distribuição não autorizada de softwares que tenham direitos autorais, marca registrada ou patente na internet; utilizar os recursos da empresa para fazer o download ou distribuição de software ou dados pirateados, atividade considerada delituosa de acordo com a legislação nacional; acesso, exposição, armazenamento, distribuição, edição, impressão e/ou gravação de materiais de cunho sexual; efetuar upload (subida) de qualquer software licenciado da empresa ou de dados de sua propriedade aos seus parceiros e pacientes, sem expressa autorização do responsável pelo software ou pelos dados; utilizar os recursos da empresa para deliberadamente propagar qualquer tipo de vírus, worm, cavalo de troia, spam, assédio, perturbação ou programas de controle de outros computadores; acessar softwares peer-to-peer (Kazaa, BitTorrent, utorrent e afins); acesso a sites de proxy.
A internet disponibilizada pela organização aos seus colaboradores, independentemente de sua relação contratual, pode ser utilizada para fins pessoais, desde que não prejudique o andamento dos trabalhos na empresa e não viole as proibições elencadas acima.
Os equipamentos, tecnologia e serviços fornecidos para o acesso à internet são de propriedade da organização, que pode analisar e, se necessário, bloquear qualquer arquivo, site, correio eletrônico, domínio ou aplicação armazenados na rede/internet, estejam eles em disco local, na estação ou em áreas privadas da rede, visando assegurar o cumprimento de sua PSI.
É proibido todo procedimento de manutenção física ou lógica, instalação, desinstalação, configuração ou modificação, sem o conhecimento prévio e o acompanhamento de um técnico da empresa, ou de quem esta determinar.
Todas as atualizações e correções de segurança do sistema operacional ou aplicativos somente poderão ser feitas após a devida validação no respectivo ambiente de homologação, e depois de sua disponibilização pelo fabricante ou fornecedor.
Os sistemas e computadores devem ter versões do software antivírus instaladas, ativadas e atualizadas permanentemente. O usuário, em caso de suspeita de vírus ou problemas na funcionalidade, deverá acionar o departamento técnico responsável mediante registro de chamado no service desk.
A transferência e/ou a divulgação de qualquer software, programa ou instruções de computador para terceiros, por qualquer meio de transporte (físico ou lógico), somente poderá ser realizada com a devida identificação do solicitante, se verificada positivamente e estiver de acordo com a classificação de tal informação e com a real necessidade do destinatário.
Arquivos pessoais e/ou não pertinentes ao negócio da empresa (como fotos, músicas, vídeos etc) não deverão ser copiados/movidos para as pastas de redes, pois podem sobrecarregar o armazenamento nos servidores. Caso identificada a existência desses arquivos, eles poderão ser excluídos definitivamente após comunicação prévia ao usuário.
Os colaboradores da empresa e/ou detentores de contas privilegiadas não devem executar nenhum tipo de comando ou programa que venha sobrecarregar os serviços existentes na rede corporativa sem a prévia solicitação e a autorização da empresa.
No uso dos computadores, equipamentos e recursos de informática, algumas regras devem ser atendidas:
Também é proibido o uso de computadores e recursos tecnológicos da empresa nas seguintes situações:
14. UTILIZAÇÃO DE DISPOSITIVO MÓVEIS.
Por dispositivos móveis, entende-se qualquer equipamento eletrônico com atribuições de mobilidade de propriedade da organização, como notebooks, smartphones e pen drives.
Não será permitida a alteração da configuração dos sistemas operacionais dos equipamentos, em especial os referentes à segurança e à geração de logs, tampouco a manutenção ou utilização de quaisquer programas e/ou aplicativos sem a devida comunicação e a autorização da área responsável e sem a condução, auxílio ou presença de um técnico da autorizado pela empresa.
A reprodução não autorizada dos softwares instalados nos dispositivos móveis fornecidos pela organização constituirá uso indevido do equipamento e infração legal aos direitos autorais do fabricante.
É permitido o uso de rede banda larga de locais conhecidos pelo colaborador como: sua casa, hotéis, fornecedores e pacientes.
É de responsabilidade do colaborador, no caso de furto ou roubo de um dispositivo móvel fornecido pela empresa, notificar imediatamente seu gestor direto. Também deverá procurar a ajuda das autoridades policiais registrando, assim que possível, um boletim de ocorrência (BO).
O colaborador deverá estar ciente de que o uso indevido do dispositivo móvel caracterizará a assunção de todos os riscos da sua má utilização, sendo o único responsável por quaisquer danos, diretos ou indiretos, presentes ou futuros, que venha causar a empresa e/ou a terceiros.
O colaborador que deseje utilizar equipamentos portáteis particulares ou adquirir acessórios e posteriormente conectá-los à rede da empresa deverá submeter previamente tais equipamentos ao processo de autorização.
Equipamentos portáteis, como smartphones, palmtops, pen drives e players de qualquer espécie, quando não fornecidos ao colaborador pela organização, não serão validados para uso e conexão em sua rede corporativa.
A empresa, na qualidade de proprietária dos equipamentos fornecidos, reserva-se o direito de inspecioná-los a qualquer tempo, caso seja necessário realizar uma manutenção de segurança.
Finalmente, o colaborador, portanto, assume o compromisso de não utilizar, revelar ou divulgar a terceiros, de modo algum, direta ou indiretamente, em proveito próprio ou de terceiros, qualquer informação, confidencial ou não, que tenha ou venha a ter conhecimento em razão de suas funções na empresa e do uso de dispositivos eletrônicos, mesmo depois de terminado o vínculo contratual mantido com a organização.
15. IDENTIFICAÇÃO.
Os dispositivos de identificação e senhas protegem a identidade do colaborador usuário, evitando e prevenindo que uma pessoa se faça passar por outra perante a empresa e/ou terceiros. Por isso, todos os dispositivos de identificação utilizados na empresa, como o número de registro do colaborador, o crachá, as identificações de acesso aos sistemas, os certificados e assinaturas digitais e os dados biométricos têm de estar associados a uma pessoa física e atrelados inequivocamente aos seus documentos oficiais reconhecidos pela legislação brasileira, sendo vedado o compartilhamento de credenciais de acesso de qualquer natureza.
O usuário, vinculado a tais dispositivos identificadores, será responsável pelo seu uso correto perante a organização e a legislação. Por isso, o uso dos dispositivos e/ou senhas de identificação de outra pessoa constitui crime tipificado no Código Penal Brasileiro.
Se houver login de uso compartilhado por mais de um colaborador, a responsabilidade perante a empresa e a legislação (cível e criminal) será dos usuários que dele se utilizarem. Somente se for identificado conhecimento ou solicitação do gestor de uso compartilhado ele deverá ser responsabilizado.
O Departamento de Recursos Humanos da empresa é o responsável pela emissão e pelo controle dos documentos físicos de identidade dos colaboradores.
Devem ser distintamente identificados os visitantes, estagiários, empregados temporários, empregados regulares e prestadores de serviços, sejam eles pessoas físicas e/ou jurídicas. Ao realizar o primeiro acesso ao ambiente de rede local, o usuário deverá trocar imediatamente a sua senha conforme as orientações apresentadas.
As senhas não devem ser anotadas ou armazenadas em arquivos eletrônicos (Word, Excel etc), compreensíveis por linguagem humana (não criptografados); não devem ser baseadas em informações pessoais, como próprio nome, nome de familiares, data de nascimento, endereço, placa de veículo, nome da empresa, nome do departamento; e não devem ser constituídas de combinações óbvias de teclado, como “abcdefgh”, “87654321”, entre outras.
Os usuários podem alterar a própria senha, e devem ser orientados a fazê-lo, caso suspeitem que terceiros obtiveram acesso indevido ao seu login/senha.
As senhas deverão ser trocadas periodicamente.
Todos os acessos devem ser imediatamente bloqueados quando se tornarem desnecessários. Portanto, assim que algum usuário for demitido ou solicitar demissão, o Departamento de Recursos Humanos deverá imediatamente comunicar tal fato ao Departamento de Tecnologia da Informação, a fim de que essa providência seja tomada. A mesma conduta se aplica aos usuários cujo contrato ou prestação de serviços tenha se encerrado, bem como aos usuários de testes e outras situações similares.
Caso o colaborador esqueça sua senha, ele deverá requisitar formalmente a troca ou comparecer à área técnica responsável para cadastrar uma nova.
Documentos, papeis, anotações contendo senhas ou informações que possam comprometer a segurança da informação da empresa ao ser descartado deve ser rasgado, queimado ou triturado.
16. ACESSO AO SERVIDOR.
O usuário "administrador" do sistema de autenticação ficará de posse e administração do coordenador de infraestrutura.
A lista de funções com direito de acesso ao servidor deverá ser constantemente atualizada, de acordo com os termos do Procedimento de Controle de Acesso ao Servidor, e salva no diretório de rede.
O acesso ao servidor, por meio de chave, apenas poderá ocorrer em situações de emergência, quando a segurança física do Servidor for comprometida, como por incêndio, inundação, abalo da estrutura predial ou quando o sistema de autenticação forte não estiver funcionando.
Caso haja necessidade do acesso não emergencial, a área requisitante deve solicitar autorização com antecedência a qualquer colaborador responsável pela administração de liberação de acesso.
O servidor deverá ser mantido limpo e organizado, não sendo permitida a entrada de nenhum tipo de alimento, bebida, produto fumígeno ou inflamável.
A entrada ou a retirada de quaisquer equipamentos do servidor somente se dará com o preenchimento da solicitação de liberação pelo colaborador solicitante e a autorização formal desse instrumento pelo responsável do servidor.
No caso de desligamento de empregados ou colaboradores que possuam acesso ao servidor, imediatamente deverá ser providenciada a sua exclusão do sistema de autenticação forte e da lista de colaboradores autorizados.
17. REALIZAÇÃO DE BACKUP.
Na empresa, todos os backups devem ser automatizados por sistemas de agendamento automatizado para que sejam preferencialmente executados fora do horário comercial, nas chamadas “janelas de backup” – períodos em que não há nenhum ou pouco acesso de usuários ou processos automatizados aos sistemas de informática.
Os colaboradores responsáveis pela gestão dos sistemas de backup deverão realizar pesquisas frequentes para identificar atualizações de correção, novas versões do produto, ciclo de vida (quando o software não terá mais garantia do fabricante), sugestões de melhorias, entre outros.
As mídias de backup (como DAT, DLT, LTO, DVD, CD e outros) devem ser acondicionadas em local seco, climatizado, seguro (de preferência em cofres corta-fogo segundo as normas da ABNT) e distantes o máximo possível do servidor.
As fitas de backup devem ser devidamente identificadas, inclusive quando for necessário efetuar alterações de nome, e de preferência com etiquetas não manuscritas.
O tempo de vida e uso das mídias de backup deve ser monitorado e controlado pelos responsáveis, com o objetivo de excluir mídias que possam apresentar riscos de gravação ou de restauração decorrentes do uso prolongado, além do prazo recomendado pelo fabricante.
É necessária a previsão, em orçamento anual, da renovação das mídias em razão de seu desgaste natural, bem como deverá ser mantido um estoque constante das mídias para qualquer uso emergencial.
Mídias que apresentam erros devem primeiramente ser formatadas e testadas. Caso o erro persista, deverão ser inutilizadas.
É necessário que seja inserido, periodicamente, o dispositivo de limpeza nas unidades de backup nos termos do Procedimento de Controle de Mídias de Backup.
As mídias de backups históricos ou especiais deverão ser armazenadas em instalações seguras, preferencialmente com estrutura de sala-cofre, distante do servidor.
Na situação de erro de backup é necessário que ele seja feito logo no primeiro horário disponível, assim que o responsável tenha identificado e solucionado o problema; quaisquer atrasos na execução de backup deverão ser justificados formalmente pelos responsáveis.
Caso seja extremamente negativo o impacto da lentidão dos sistemas derivados desse backup, eles deverão ser autorizados apenas mediante justificativa de necessidade.
Testes de restauração (restore) de backup devem ser executados por seus responsáveis, nos termos dos procedimentos específicos, aproximadamente a cada 30 ou 60 dias, de acordo com a criticidade do backup.
Por se tratar de uma simulação, o executor deve restaurar os arquivos em local diferente do original, para que assim não sobreponha os arquivos válidos.
Para formalizar o controle de execução de backups e restaurações, deverá haver um formulário de controle rígido de execução dessas rotinas, o qual deverá ser preenchido pelos responsáveis e auditado pelo coordenador de infraestrutura.
Os colaboradores responsáveis descritos nos devidos procedimentos e na planilha de responsabilidade poderão delegar a um custodiante a tarefa operacional quando, por motivos de força maior, não puderem operacionalizar. Contudo, o custodiante não poderá se eximir da responsabilidade do processo.
18. ALTERAÇÕES DA POLÍTICA DE PRIVACIDADE.
Em atendimento à finalidade da legislação, com fito de resguardar o direito do titular, a empresa está buscando o constante aprimoramento da experiência do cliente, parceiro, prestador o colaborador, de modo que novas práticas de tratamento poderão sofrer alterações com a inclusão de novas funcionalidades e serviços.
Todas essas alterações serão comunicadas aos titulares constantes em nossos cadastros através e-mail, mensagem SMS ou fisicamente.
Fica a recomendação de que seja verificada a versão atualizada da política de segurança da informação sempre exigirem-lhe a realização de cadastros ou verificações, quer seja na forma presencial ou virtual.
19. DA INTERAÇÃO COM O TITULAR – FORMULÁRIO DE ATENDIMENTO.
A Lei Geral de Proteção de Dados traz em seu artigo 18 a possibilidade de o titular dos dados realizar interação com o controlador a fim de solicitar alteração, verificação, exclusão, revogação, revisão de consentimento e outros.
De tal modo, a empresa disponibiliza contato direto com sua equipe de dados através do e-mail atendimento.sac@sopassaros.com.br
Ao realizar contato através do e-mail, os dados do titular serão confirmados através de formulário específico e a intenção do titular será registrada e atendida no prazo de lei.
20. CONSIDERAÇÕES FINAIS.
Esta PSI não esgota todas as possíveis questões éticas relacionadas à atividade empresarial, não restringindo eventuais medidas coercitivas a qualquer conduta que ofenda o bom senso, a ética e moral. Além disso, ela entra em vigor a partir de sua divulgação, sem previsão para término, devendo ser revisada, no mínimo, a cada 12 (doze) meses.
O descumprimento de quaisquer dos tópicos do presente documento acarretará a responsabilidade civil, criminal e/ou administrativa dos que, comprovadamente, estiverem envolvidos no descumprimento e/ou violação.
Caso haja necessidade de judicialização de qualquer questão relativa às diretrizes e aos dados tratados, o Foro aplicável é o de Itaberaba/BA.
Itaberaba/BA, 16 de Outubro de 2024.
A PINA DOS SANTOS DELEZZOTTE EIRELI
Representante legal