Política de Privacidade

Introdução

A sua privacidade é importante para nós. Esta política explica como coletamos, usamos e protegemos as suas informações pessoais.

Termo de responsabilidade para reunião presencial e online

Este Termo de Responsabilidade tem como objetivo formalizar as obrigações e compromissos dos participantes envolvidos na reunião presencial ou online. Através deste documento, todos os participantes declaram estar cientes de suas responsabilidades e comprometem-se a cumprir com as condições aqui estabelecidas. Este termo visa garantir a transparência, a organização e a eficiência na condução das atividades, promovendo um ambiente de respeito mútuo e cooperação

1. Local:

Presencial: Escritorio Matriz ou Filial;

Online: Meet, Zoom ou WhatsApp;

2. Responsabilidades dos Participantes:

• Pontualidade: Comparecer pontualmente ao local da reunião.

• Preparação: Estar devidamente preparado para discutir os tópicos agendados, revisando qualquer material previamente enviado.

• Participação Ativa: Participar de forma ativa nas discussões, contribuindo com ideias e sugestões.

• Conduta: Manter uma conduta profissional durante a reunião, respeitando as opiniões dos demais participantes.

• Segurança e Saúde: Cumprir com todas as normas de segurança e saúde aplicáveis ao local, incluindo o uso de máscara, se necessário, e respeitar as orientações de distanciamento social, caso aplicável.

3. Cancelamento ou Reagendamento:

Em caso de impossibilidade de comparecimento, o participante deve notificar os organizadores com, pelo menos, 1 (dia) de antecedência.

4. Confidencialidade:

Os assuntos discutidos durante a reunião são confidenciais e não devem ser divulgados a terceiros, exceto com autorização expressa de todas as partes envolvidas.

5. Aceitação:

Ao confirmar a participação, o participante concorda com os termos aqui descritos e assume a responsabilidade pelo cumprimento das obrigações mencionadas.

Acordo de Uso de Recursos Tecnológicos

Considerando que a organização se preocupa com a utilização dos dispositivos eletrônicos,redes, internet,sistemas de informação,sistemas de informação, e-mail corporativo e qualquer outro recurso tecnológico fornecido pela organização, por isso,

1. Objeto:

1.1 Este Acordo deUso de Recursos Tecnológicos estabelece asregras e responsabilidades relacionadas ao acesso e utilização dos recursos tecnológicos da organização pelo colaborador.

2. Definições:

2.1 Recursos Tecnológicos: Incluem, mas não se limitam a, dispositivos eletrônicos, redes, internet, sistemas de informação, e-mail corporativo e qualquer outro recurso tecnológico fornecido pela organização.

3. Uso de Internet:

3.1 O colaborador compromete-se a utilizar a internet fornecida pela organização de forma responsável e estritamente relacionada às atividades profissionais.

3.2 É proibido o acesso a sites e conteúdos considerados ofensivos, ilegais, ou que possam comprometer a segurança da informação da organização.

3.3 A organização reserva-se o direito de monitorar o tráfego de internet para garantir o cumprimento das políticas estabelecidas.

4. E-mail Corporativo:

4.1 O e-mail corporativo é um recurso exclusivamente profissional, devendo ser utilizadopara comunicações relacionadas ao trabalho.

4.2 O colaborador deve abster-se de enviar e-mails com conteúdo ofensivo, discriminatório ou que viole a legislação vigente.

4.3 Anexos e links em e-mails devem ser verificados quanto à segurança antes de serem abertos ou clicados.

5. Redes Internas:

5.1 O acesso às redes internas da organização é restrito a atividades essenciais ao desempenho das funções do colaborador.

5.2 O compartilhamento não autorizado de informações e documentos através das redes internas é estritamente proibido.

6. Segurança da Informação:

6.1 O colaborador é responsável por adotar medidas de segurança da informação, incluindo a proteção de senhas e o uso seguro de dispositivos.

6.2 Incidentes de segurança, como perda ou roubo de dispositivos, devem ser imediatamente reportados à equipe de TI ou ao responsável designado.

7. Consequências do Descumprimento:

7.1 O descumprimento das regras estabelecidas neste acordo pode resultar em medidas disciplinares, incluindo rescisão de contrato e responsabilização por eventuais danos causados.

8. Disposições Finais:

8.1 Este Acordo de Uso de Recursos Tecnológicos é regido pelas normas do ordenamento jurídico brasileiro, principalmente pelos arts. 186, 187 e 927 da Lei 10.406/2002 e pela Lei 13.709/2018.

8.2 Quaisquer controvérsias decorrentes deste acordo serão dirimidas no foro da comarca da sede da organização.

8.2 Este acordo prevalece sobre quaisquer acordos anteriores, orais ou escritos, entre as partes, relacionados ao uso de recursos tecnológicos

Mapeamento de fluxo de dados

Visando a conformidade com a Lei Geral de Proteção de Dados nº 13.709 de 2018, o presente mapeamento de dados primordiais, tem como objetivo permitir e identificar os dados necessários para obtenção de sucesso no fluxo interno de processamento de dados. O objetivo é realizar a coleta de dados necessária e garantir seu tratamento regular.

1. Dados coletados

1.1. Os dados de pessoas físicas ou jurídicas são coletados de forma eletrônica (via website, ligação, e aplicativos de comunicação) e de forma física, bem como quaisquer outrasformas de extração que os agentes de tratamento optarem.

1.2. Os dados coletados não limitados a nome, RG, CPF, CNPJ, endereço,sede,telefone, celular, e-mail, pis, histórico de saúde, exame admissional, foto, biometria, carteira de trabalho, certidão de nascimento, certidão de casamento, gênero, reservista, etnia, diploma, filiação sindical, nomes dos dependentes, genitores, escolaridade, carteira de vacinação, dados bancários.

2. Finalidade

2.1. Os dados são coletados e tratados com a finalidade de execução e manutenção das atividades internas da organização. Sendo a finalidade atrelada ou não ao objeto direto da organização, tais como, realização de cobrança, eventos, recrutamento, seleção, orçamento, reunião de comitê, assembleia, negociações, protesto, acesso às dependências da organização, emissão de documentos fiscais, cadastros em geral, pagamento de salário, pagamento de benefícios, elaboração de contratos, elaboração de propostas, agendamentos e prestação de serviço.

3. Armazenamento

3.1. De acordo com a retenção do dado demonstrada pelo fluxo (processamento de dados) é realizado o armazenamento do mesmo, a fim de conter o histórico interno. O armazenamento é realizado de forma física, nuvem, correio eletrônico, HD, e-mail, ERP, CRM, servidor local e banco de dados.

4. Tratamento e compartilhamento de dados

4.1. Para a realização assertiva dos trâmites internos e externos os dados passam pelo regular processamento e compartilhamento. O compartilhamento obedece a legislação, sendo que, para assegurar efetividade no tratamento interno, apenas os interessados nas informações têm acesso à elas e, externamente, realiza-se o compartilhamento mediante autorização do titular, resguardadas as exceções legais.

5. Descarte de arquivo

5.1. Por fim, na hipótese de desnecessidade de manutenção dos dados, estes são descartados, conforme a política de descarte estipulada pela Lei Geral de Proteção de Dados, resguardadas as exceções dispostas no ordenamento jurídico e as ordens judiciais que obrigam o armazenamento. O descarte inclui backups existentes dos dados.

5.2. O descarte é realizado deletado do software, triturado, incinerados, exclusão de forma definitiva, rasgado e anonimizado

TERMO ADITIVO CONTRATUAL DE CONFIDENCIALIDADE E DE RESPONSABILIDADE À LEI GERAL DE PROTEÇÃO DE DADOS

Considerando que, as partes se propõe a receber determinada informações confidenciais relativas ao negócio, situação patrimonial e financeira e às operações, incluindo informações técnicas, legais e analíticas, planos de negócio, estratégias de negócios, preços, métodos e processos, projetos, know-how, técnicas, designs, especificações, croquis, modelos, amostras, processos, conceitos de produtos, invenções, ideias, técnicas comerciais, técnicas financeiras e demais informações (“Informações”), com o único propósito de se avaliar um possível investimento na mesma (“Negociação”), as partes têm entre si justo e acordado o presente Termo Aditivo Contratual de Confidencialidade (“Termo”). Considerando que, toda e qualquer informação transmitida entre as partes, oralmente ou por escrito, consistindo em informações privadas, inclusive relativas ao presente Termo, bem como as análises das informações e quaisquer entendimentos mantidos entre as PARTES e à Negociação, são denominadas como “Informações Confidenciais”.

Dadas as considerações, as partes, seus administradores, empregados e prepostos concordam e se comprometem:

1. A não divulgar as Informações Confidenciais, sem a prévia manifestação de vontade documentada da outra parte, com exceção da base confidencial, que engloba os diretores, gerentes, representantes (inclusive contadores, advogados e agentes) e empregados da parte receptora (“Representantes”) que tenham interesse direto.

2. A não duplicar nem distribuir a qualquer outra pessoa além de seus Representantes nenhuma Informação Confidencial para nenhum propósito, inclusive de concorrência, que não os que são objeto da avaliação da negociação;

3. Destruir ou restituir à fonte, imediatamente após o pedido de uma das partes, todas as cópias das Informações Confidenciais, quaisquer que sejam asformas em que estas estejam na posse da parte receptora ou de seus Representantes.

4. Não obstante qualquer outra cláusula deste Acordo, as partes podem divulgar as Informações Confidenciais em caso de (a) solicitação por ordem judicial ou processo semelhante emitido por um tribunal da jurisdição competente ou por um órgão governamental ou (ii) para atender às leis, ordens, regulamentos e regras aplicáveis a esta parte.

5. No caso de qualquer uma das partes ou de qualquer um dos Representantes vir a ser obrigado a revelar quaisquer Informações Confidenciais em virtude de previsão legal, ordem judicial ou administrativa, essa avisará imediatamente à outra parte, de modo a resguardar o direito de oposição da titular dos dados.

5.1. A comunicação deverá ser feita mediante envio de cópia da ordem judicial ou administrativa que impôs a revelação da Informação Confidencial.

5.2. Na hipótese falta de sucesso ou decurso do lapso temporal sem apresentação da oposição ou defesa, pela titular, face à determinação de revelação da Informação Confidencial, a outra parte deverá se empenhar para utilizar os procedimentos disponíveis para assegurar que as Informações Confidenciais reveladas permaneçam não públicas, bem como se compromete a revelar a informação restrita à especificação da ordem judicial ou administrativa.

6. As partes obrigam-se a cientificar seus Representantes sobre o caráter sigiloso das informações que terão acesso, devendo tomar todas as cautelas para que apenas aqueles que dependam delas, para o desenvolvimento direto e indireto do objeto do contrato originário, tenham acesso.

7. As partes declaram-se cientes de que o tratamento inadequado das Informações Confidenciais, incluindo a divulgação e a revelação desautorizada, com ressalva às previsões legais, caracterizam dano à parte titular e responsabilidade objetiva à outra parte.

7.1. O tratamento inadequado pode implicar a responsabilização civil e/ou criminal da parte infratora, bem como o ressarcimento das perdas e danos decorrentes.

7.2. Este Termo não se aplicará a qualquer informação que se torne disponível ao público por culpa exclusiva de terceiros, não incluídos na base confidencial, ou culpa exclusiva do titular, bem como nos casos fortuitos e de força maior. Sendo, nestes casos, descaracterizada qualquer alegação da responsabilidade objetiva ou subjetiva da receptora e seus representantes.

8. Este termo terá a validade de 05 (cinco) anos a contar da data de sua assinatura, com ressalva ao dever de arquivo de informações decorrentes de disposições do ordenamento jurídico brasileiro ou ordem judicial e administrativa.

9. O presente Termo tem caráter irrevogável e irretratável, obrigando as partes a cumpri-lo em todas as cláusulas e condições, por si, seus herdeiros e sucessores.

10. As partes elegem o Foro da Comarca da Capital do Estado de São Paulo, como o competente para dirimir quaisquer dúvidas ou controvérsias oriundas do presente Termo, com renúncia expressa de qualquer outro, por mais privilegiado que seja.

11. As partes declaram estar cientes das disposições previstas na Lei Geral de Proteção de Dados nº 13.709/2018 e que, desde o dia 16 de agosto de 2020, estão aptas para cumpri-las no tratamento de todos e quaisquer dados pessoais realizado em razão do presente Termo, de forma a garantir inteiramente os plenos direitos dos titulares, sendo seu descumprimento fundamento para rescisão contratual, a critério da parte lesada.

E, por estarem assim justas e acertadas, as partes firmam o presente Termo na presença de duas testemunhas, conforme devidamente infra-assinado

Política de Backup e Recuperação de Dados

1. Objetivo:

1.1 Esta política tem por objetivo estabelecer as práticas e responsabilidades relacionadas à realização de backups regulares e à recuperação de dados na organização.

2. Responsabilidades:

2.1 A equipe de Tecnologia da Informação (TI) é responsável pela implementação, monitoramento e manutenção dos procedimentos de backup e recuperação de dados.

2.2 Todos os colaboradores devem cooperar com a equipe de TI e seguir as diretrizes estabelecidas nesta política.

3. Backups Regulares:

3.1 Deverão ser realizados backupsregulares de todos os dados considerados críticos para as operações da empresa.

3.2 Os backups devem incluir, mas não se limitar a, sistemas, bancos de dados, arquivos de configuração e dados de usuários.

3.3 O cronograma de backups deve ser estabelecido com base na criticidade dos dados, sendo no mínimo 1 vez por semana.

4. Armazenamento de Backups:

4.1 Os backups devem ser armazenados em locais seguros, fora do ambiente principal de TI, para mitigar riscos como desastres naturais ou eventos que possam comprometer a infraestrutura física.

4.2 Deve ser assegurada a proteção dos backups contra acessos não autorizados.

4.3 Periódicos testes de restauração devem ser realizados para garantir a integridade e eficácia dos backups.

5. Política de Retenção:

5.1 Será estabelecida uma política de retenção de backups para determinar o período pelo qual os dados serão mantidos.

5.2 Dados obsoletos ou não mais necessários devem ser removidos dos backups de acordo com a política de retenção.

6. Procedimentos de Recuperação:

6.1 Em caso de falhas ou incidentes que resultem em perda de dados, a equipe de TI deve atuar de maneira rápida e eficaz na recuperação dos dados.

6.2 Procedimentos documentados de recuperação devem ser mantidos e revisados regularmente.

6.3 A equipe de TI é responsável por comunicar prontamente as partesinteressadassobre qualquer incidente que envolva perda de dados.

7. Atualização e Revisão:

7.1 Esta política será revisada periodicamente para garantir sua eficácia e atualizada conforme necessário para refletir as mudanças nas operações e tecnologias.

7.2 A revisão incluirá a avaliação da eficácia dos procedimentos de backup e recuperação em resposta a incidentes recentes.

8. Treinamento e Conscientização:

8.1 A equipe de TI fornecerá treinamento regular aos colaboradores sobre a importância da política de backup e recuperação, bem como sobre os procedimentos a serem seguidos.

9. Disposições Finais:

9.1 O não cumprimento desta política pode resultar em medidas disciplinares, incluindo rescisão de contrato e responsabilização por eventuais danos causados

POLÍTICA DE ELIMINAÇÃO DE DADOS

Considerando que, o Controlador e o Operador dos dados comprometem-se a seguir a Lei Geral de Proteção de Dados nº 13.709/18, garantindo total conformidade, de modo a precaver e mitigar possíveis ocorrências internas e externas. Considerando que, a atuação do Controlador e Operador observar-se-á o disposto no art. 5º, IV e XIV da Lei Geral de Proteção de Dados nº 13.709/18, que preveem (i) a definição de banco de dados, que é o conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico e (ii) o conceito de eliminação de dados, fundado na exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado.

1. Finalidade

1.1. Garantir que todos os dados sensíveis e não sensíveis de pessoas físicas e jurídicas, sejam acessados somente pelos responsáveis em desempenhar o regular tratamento para seus devidos fins.

1.2. Agir de forma adequada para solucionar questões levantadas pelos trabalhadores, colaboradores, terceirizados e outras partes interessadas, bem como comunicar quanto às decisões tomadas e orientar quanto a política adotada, caso se aplique;

1.3. Realizar descarte de documentos do banco de dados tangível e intangível, como forma de não reter dados sensíveis e não sensíveis conforme descrito na tabela do ANEXO I.

1.4. Assegurar a melhoria contínua de modo a atingir o pleno e incontestável cumprimento da Lei Geral de Proteção de Dados nº 13.709/18, realizando todas as manutenções necessárias pertinentes a esse devido fim.

1.5. Assegurar consonância com a Legislação Arquivística Brasileira, para a eliminação dos documentos destituídos de valor legal, comprobatório ou histórico.

2. Destruição de Dados

2.1. Assim que o período de arquivo expirar descrito na tabela do ANEXO I, desde que não haja uma razão válida para a manutenção, os dados físicos serão destruídos como resíduo confidencial e os eletrônicos serão excluídos do sistema de forma segura.

2.1.1. As mídias físicas ao serem descartadas, devem ser formatadas, apagadas e conferidas, para garantir que estão vazias. Após esse processo, os discos, HDs externos e pendrives devem ser destruídos.

2.2. Na hipótese de previsão legal, investigação em curso, processos administrativos e judiciais, os registros serão mantidos, independentemente de consentimento, sendo prorrogados os períodos de armazenamentos indicados na tabela do ANEXO I.

2.3. Com exceção das hipóteses do item 2.2, caso a organização tenha o interesse em estender o prazo de armazenamento descrito no ANEXO I, os titulares dos dados deverão ser notificados por escrito, com antecedência razoável da data do término do período de retenção. Se o titular optar por exercer seu direito de eliminação dos dados, estes serão descartados imediatamente, observada a exceção do item 2.2.

3. Descumprimentos

3.1. O não cumprimento da presente política pelos trabalhadores permanentes, temporários ou contratados, bem como terceiros que tenham acesso às informações por permissão da organização, pode resultar em processos disciplinares ou no término do contrato de trabalho.

3.2. Fica resguardado o direito de pleito judicial ou administrativo aos titulares dos dados e direito ao regresso da empresa contra o indivíduo infrator

POLÍTICA DE INCIDENTE DE SEGURANÇA DA INFORMAÇÃO

1. DEFINIÇÃO

Um Incidente de Segurança da Informação (SI) pode ser definido como qualquer indício de fraude, sabotagem, espionagem, desvio, falha, evento indesejado ou inesperado, que tenha probabilidade de comprometer ou ameaçar a segurança da informação. Exemplos comuns desses incidentes são:

 O desfiguramento do portal web de uma instituição;

 A evasão de informações confidenciais;

 A propagação de um vírus ou worm por meio da lista de contatos de e-mails;

 Envio de spam;

 Indisponibilidade de um servidor de banco de dados;

 Tentativas não autorizadas de acesso.

Todo incidente de segurança deve ser tratado seguindo uma metodologia previamente definida pela instituição. Essa metodologia é chamada de Processo de Gerenciamento de Incidentes de Segurança. O Gerenciamento de Incidentes de Segurança da Informação está voltado para proteger a informação e seus critérios de confidencialidade, integridade e disponibilidade. É uma metodologia organizada para gerir consequências de uma violação de segurança da informação, no intuito de minimizar o impacto de um incidente e permitir o restabelecimento dos sistemas o mais rápido possível.

1.1. Os objetivos do Gerenciamento de Incidente de Segurança da Informação são:

 Identificar se o incidente está no escopo da segurança da informação;

 Identificar o incidente o quanto antes visando neutralizar e mitigar a ameaça;

 Garantir a detecção de eventos e tratamentos adequados, incluindo a categorização destes como incidentes de segurança da informação ou não;

 Avaliar e responder da maneira mais adequada possível;

 Minimizar os efeitos adversos de incidentes de segurança a informação (tratando-os o mais brevemente possível);

 Reportar as vulnerabilidades de segurança da informação, além de tratá-las adequadamente;

 Ajudar a prevenir futuras ocorrências, através da manutenção de uma base de lições aprendidas (base dados de erros conhecidos).

1.2. A Notificação de Incidentes de Segurança é muito importante, pois ajuda a identificar problemas e prevenir novas ocorrências, visto que:

 Melhora a capacidade de detecção de incidentes;

 Contribui para a segurança geral, imagem institucional: ao notificar uma tentativa de ataque que foi vítima, busca-se a solução do problema e demonstra-se comprometido com questões de segurança, ao invés de apenas mitigá-la;

 Pode ajudar a conter danos e prejuízos: notificações podem ser instrumentos eficazes na mitigação de incidentes e na contenção dos prejuízos, como por exemplo, em casos de fraudes;

 Permite gerar estatísticas, correlacionar dados e identificar tendências que ajudarão a elaborar recomendações e materiais de apoio, a orientar campanhas pela adoção de boas práticas e a estabelecer ações em cooperação;

 Esta cartilha tem por objetivo orientar, de forma simples, como proceder ao Processo de Notificação de Incidentes de Segurança.

2. FATOS DETERMINANTES: ANÁLISE E POSSÍVEIS OCORRÊNCIAS

2.1. Gravidade 1: Descrição Baixa - Uma Pessoa

 O equipamento ou serviço apresenta falha, mas por necessidade do usuário não há possibilidade de intervenção imediata ou de paralisação;

 O serviço afetado está operando, mas no modo de contingência;

 A requisição pode ser atendida em algum horário posterior sem que haja prejuízo do desempenho das atividades do usuário;

 A solicitação é uma requisição de mudança programada;

2.2. Gravidade 2: Descrição Média - Grupo Pequeno

 A falha afeta o trabalho diário de um ou mais usuários. O equipamento ou serviço de uso coletivo encontra-se operando de modo normal, mas algumas funções secundárias apresentam falhas ou lentidão;

 Trata-se de requisição de serviço cujo não atendimento imediato não impede o trabalho principal do usuário;

2.3. Gravidade 3: Descrição Elevada - Apenas um Grupo

A falha impossibilita o trabalho diário de um ou mais usuários (ex. problema em um equipamento ou sistema específico, falha no funcionamento do acesso à rede em uma sala ou setor, indisponibilidade da estação de trabalho do usuário, problema em serviço essencial para o usuário);

2.4. Gravidade 4: Descrição Alta - Vários Grupos

 Incidentes que impeçam ou inviabilizem os trabalhos de múltiplas áreas da organização;

 Indisponibilidade ou mau funcionamento de conjunto de serviços ou recursos essenciais;

 O equipamento ou serviço fornecido está operacional, mas apresenta algumas funções principais degradadas;

 Confidencialidade;

2.5. Gravidade 5: Descrição Altíssima - Toda a Organização

 Incidentes que geram o vazamento de informações confidenciais, causando impactos negativos e danos na imagem institucional da organização;

 Qualquer incidente relativo à indisponibilidade ou mau funcionamento generalizado de sistemas ou recursos críticos ou sensíveis;

 Qualquer incidente venha comprometer a integridade e confidencialidade de sistemas institucionais

 Qualquer incidente cujo não atendimento comprometa os serviços de TI prestados. Qualquer incidente ou requisição reportado por usuário estratégico.

3. PROCEDIMENTO

A informação do incidente é uma das etapas do Gerenciamento de Incidentes, que deverá ser registrado e comunicado ao Assessor de Segurança da Informação para acompanhamento e monitoramento do atendimento até sua resolução. O Relatório de Incidentes de Segurança da Informação é a ferramenta de registro e acompanhamento do incidente, onde deverá constar um código de prioridade de acordo com a análise.

3.1. A Comunicação do Incidente

Os incidentes que deverão ser registrados e comunicados ao Assessor de Segurança da Informação que estão definidos nos critérios da análise, devem cumprir as informações classificadas abaixo:

3.1.1. Impacto Altíssimo (Gravidade 5) e Impacto Alto (Gravidade 4)

Passo a passo para realizar nesses casos:

I.Acionar imediatamente (pessoalmente ou por meio de contato telefônico) relatando os fatos determinantes;

II.Preencher o Relatório de Incidentes de Segurança da Informação – RISI;

III.Descrever o incidente: identificar resumidamente o que ocorreu;

IV.Período em que ocorreu o incidente;

V.Severidade do incidente: o grau de prioridade;

VI. Tipo de impacto;

VII.Origem do alerta (serviço, sistema ou componente);

VIII. Data da notificação do Assessor de Segurança da Informação;

IX.Detalhamento do incidente: descrever o que ocorreu, extensão e impactos do incidente, bem como detalhar as causas prováveis do incidente, áreas envolvidas na investigação do incidente, etc;

X.Tratamento do Incidente: descrever as ações executadas para a contenção e/ou contorno do problema/incidente, equipes/pessoas envolvidas;

XI.Análise e Encerramento do Incidente: Descrever, se necessárias, outras ações e recursos para finalizar o tratamento do incidente e/ou para evitar que o incidente volte a ocorrer. Se possível, informar prazos e responsáveis para a execução.

3.1.2. Impacto Elevado (Gravidade 3) e Impacto Alto (Gravidade 2)

Notificar por e-mail o Assessor de Segurança da Informação relatando os fatos determinantes e resolução do incidente.

3.1.3. Impacto Baixo (Gravidade 1)

Notificar por e-mail o Assessor de Segurança da Informação relatando os fatos determinantes e resolução do incidente.

3.2. O assessor de segurança da informação

O Assessor de Segurança da Informação é o responsável pelo processo de Gerenciamento dos Incidentes de Segurança da Informação. Entre suas atribuições estão:

 Garantir que o Relatório de Incidentes de Segurança da Informação;

 Assegurar a adequada avaliação de impacto do incidente;

 Promover ciclos de análise de riscos de segurança da informação atuais e iminentes, propondo ações para sua mitigação, considerando critérios como: potencial impacto e riscos;

 Promover a melhoria contínua dos indicadores de Segurança da Informação;

 Manifestar-se de ofício ou mediante solicitação, nos assuntos concernentes a Segurança da Informação;

IMPORTANTE:

Toda informação relevante durante o ciclo de vida do incidente deve ser registrada.

Quando incidente de segurança da informação decorrer de suspeita de descumprimento da Política de Segurança da Informação, será observado o sigilo durante todo o processo, ficando as evidências, informações e demais registros restritos aos envolvidos na investigação.

 Propor e revisar as normas relativas à Segurança da Informação.

3.3. Comunicação das Partes Envolvidas

De acordo com a Lei Geral de Proteção de Dados nº 13.709/18, no caso de um incidente de segurança da informação que envolva dados pessoais, o responsável pelo tratamento desses dados (controlador) deve notificar os titulares dos dados afetados.

O procedimento para avisar os titulares dos dados afetados após a ocorrência de um incidente de segurança deverá seguir os seguintes passos:

1.Identificação do Incidente Assim que o incidente for identificado e confirmado como uma violação de dados pessoais, o responsável pelo tratamento dos dados deverá iniciar a notificação aos titulares afetados.

2.Avaliação do Impacto

Antes de fazer a notificação, é importante conduzir uma avaliação do impacto da violação de dados pessoais. Isso ajudará a determinar a extensão do incidente, as categorias de dados afetados e o possível risco para os titulares.

3.Preparação da Notificação

A notificação aos titulares deve ser clara, concisa e fornecer informaçõesrelevantes sobre o incidente e seus impactos.

A notificação deve incluir informações como a natureza dos dados pessoais afetados, a data provável da violação, as medidas adotadas ou que serão adotadas para mitigar os riscos e os meios de contato para mais informações.

4.Tempo para Notificação

A LGPD não estabelece um prazo específico para a notificação dos titulares afetados, mas é necessário que a notificação seja feita de forma rápida e eficiente, assim que a violação de dados for confirmada e o impacto for avaliado.

5.Forma de Notificação

A notificação aos titulares dos dados poderá ser realizada por meios diretos de comunicação, como e-mail, correio físico, mensagem por aplicativo ou por meio de publicações em sites ou jornais, caso a notificação afete um grande número de titulares.

6.Comunicação Transparente

A notificação aos titulares deve ser transparente e não deve esconder informações relevantes sobre o incidente. Os titulares têm o direito de saber o que aconteceu com seus dados pessoais e quais medidas estão sendo tomadas para protegê-los.

7.Registro da Notificação

Será necessário registrar todas as notificações enviadas aos titulares dos dados afetados, bem como as ações tomadas para mitigar os riscos decorrentes do incidente.

É importante destacar que a LGPD também prevê que, em casos de incidentes de segurança de dados que possam acarretar riscos ou danos aos titulares dos dados, a Autoridade Nacional de Proteção de Dados (ANPD) também deverá ser notificada. A ANPD poderá orientar sobre as medidas necessárias para tratar o incidente e cumprir com as obrigações legais decorrentes da Lei Geral de Proteção de Dados nº 13.709/18

POLÍTICA DE PRIVACIDADE

A Política tem como prioridade a proteção dos dados pessoais, mantendo todos os aspectos devidos de segurança e privacidade. O comprometimento engloba, também, a transparência do processo de tratamento de dados pessoais dosstakeholders. Por isso, a presente Política de Privacidade estabelece como é feita a coleta, uso e transferência de informações de clientes e terceiros que acessam ou usam o site da organização.

Ao utilizar serviços da organização, as informações pessoais são coletadas e utilizadas nas formas descritas nesta Política, conforme as normas da Lei Geral de Proteção de Dados nº 13.709/2018, combinadas com as disposições consumeristas da Lei 8.078/1990 e as demais normas do ordenamento jurídico brasileiro aplicáveis. No papel de Controladora de Dados, obriga-se ao disposto na presente Política de Privacidade.

1. Quais dados são coletados sobre você e para qual finalidade?

O site da organização coleta e utiliza alguns dosseus dados pessoais, de forma a viabilizar a prestação de serviços e aprimorar a experiência de uso. Dados pessoais fornecidos pelo titular:

i. Dados fornecidos pelos usuários (ex.: informações de contato, dados profissionais, informações financeiras ou técnicas);

ii. Dados de navegação (ex.: endereço IP, localização, país, tempo de navegação, tempo de acesso) ou dados que surjam de sua interação com o site;

iii. Cookies e sistemas de rastreamento da Internet;

iv. Informações sobre a convicção religiosa do usuário são coletadas quando o cadastro é preenchido.

2. Consentimento

É a partir do seu consentimento que a organização pode tratar os seus dados pessoais. O consentimento é a manifestação livre e inequívoca pela qual você nos autoriza a tratar seus dados.

Assim, em consonância com a Lei Geral de Proteção de Dados nº 13.709/18, seus dados só serão coletados, tratados e armazenados mediante prévio e expresso consentimento.

O seu consentimento será obtido de forma específica para cada finalidade acima descrita, evidenciando o compromisso de transparência e boa-fé para com seus usuários/clientes, seguindo as regulações legislativas pertinentes.

Ao utilizar os serviços e fornecer seus dados pessoais, você está ciente e consentindo com as disposições desta Política de Privacidade, além de conhecer seus direitos e como exercê-los.

A qualquer tempo e sem nenhum custo, você poderá revogar seu consentimento.

É importante destacar que a revogação do consentimento para o tratamento dos dados pode implicar a impossibilidade da performance adequada de alguma funcionalidade do site que dependa da operação. Tais consequências serão informadas previamente.

3. Quais são os seus direitos?

A organização assegura a seus usuários/clientes seus direitos de titular previstos no art. 18 da Lei Geral de Proteção de Dados nº 13.709/18. Dessa forma, você pode, de maneira gratuita e a qualquer tempo:

a) Confirmar a existência de tratamento de dados, de maneira simplificada ou em formato claro e completo;

b) Acessar seus dados, podendo solicitá-los em uma cópia legível sob forma impressa ou por meio eletrônico, seguro e idôneo;

c) Corrigir seus dados, ao solicitar a edição, correção ou atualização;

d) Limitar seus dados quando desnecessários, excessivos ou tratados em desconformidade com a legislação através da anonimização, bloqueio ou eliminação;

e) Solicitar a portabilidade de seus dados, através de um relatório de dados cadastrais;

f) Eliminar seus dados tratados a partir de seu consentimento, exceto nos casos previstos em lei;

g) Revogar seu consentimento, desautorizando o tratamento de seus dados;

h) Informar-se sobre a possibilidade de não fornecer seu consentimento e sobre as consequências da negativa.

4. Como você pode exercer seus direitos de titular? Para exercer seus direitos de titular, você deve entrar em contato através dos seguintes meios disponíveis:

a) E-mail

b) Telefone

De forma a garantir a sua correta identificação como titular dos dados pessoais objeto da solicitação, é possível que as organização solicite os documentos ou demais comprovações que possam comprovar sua identidade. Nessa hipótese, você será informado previamente.

5. Como e por quanto tempo seus dados serão armazenados?

Seus dados pessoais coletados serão utilizados e armazenados durante o tempo necessário para a prestação do serviço ou para que as finalidades elencadas na presente Política de Privacidade sejam atingidas, considerando os direitos dos titulares dos dados e dos controladores.

De modo geral, seus dadosserão mantidos enquanto a relação contratual perdurar. Findado o período de armazenamento dos dados pessoais, estes serão excluídos das bases de dados ou anonimizados, ressalvadas as hipóteses legalmente previstas. Especialmente as hipóteses dispostas no art. 16 da Lei Geral de Proteção de Dados nº 13.709/18, a saber:

a) Cumprimento de obrigação legal ou regulatória pelo controlador;

b) Estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

c) Transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou

d) Uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.

Isto é, suas informações pessoais, que sejam imprescindíveis para o cumprimento de determinações legais, judiciais e administrativas e/ou para o exercício do direito de defesa em processos judiciais e administrativos serão mantidas, a despeito da exclusão dos demais dados.

O armazenamento de dados coletadosreflete o compromisso com a segurança e privacidade dosseus dados. A organização emprega medidas e soluçõestécnicas de proteção aptas a garantir a confidencialidade, integridade e inviolabilidade dos seus dados. Além disso, a organização conta com medidas de segurança apropriadas aos riscos e com controle de acesso às informações armazenadas.

6. O que a organização faz para manter seus dados seguros?

Para a manutenção das suas informações pessoais seguras, a organização usa ferramentas físicas, eletrônicas e gerenciais orientadas para a proteção da sua privacidade.

Aplica-se essas ferramentas levando em consideração a natureza dos dados pessoais coletados, o contexto e a finalidade do tratamento, bem como os riscos que eventuais violações podem gerar para os direitos e liberdades do titular dos dados coletados e tratados.

Entre as medidas que a organização adota destaca-se as seguintes:

a) Apenas pessoas autorizadastêm acesso a seus dados pessoais;

b) O acesso a seus dados pessoais é feito somente após o compromisso de confidencialidade;

c) Seus dados pessoais são armazenados em ambiente seguro e idôneo.

A organização compromete-se em adotar as melhores posturas para evitar incidentes de segurança.

Contudo, é necessário destacar que nenhuma página virtual é inteiramente segura e livre de riscos. É possível que, apesar de todos os protocolos de segurança adotados, problemas de culpa exclusivamente de terceiros ocorram, como ataques cibernéticos de hackers e, também, em decorrência da negligência ou imprudência do próprio usuário/cliente.

Em caso de incidentes de segurança que possam gerar risco ou dano relevante para você ou qualquer um dos usuários/clientes, a organização comunicará os afetados e a Autoridade Nacional de Proteção de

Dados(ANPD), em consonância com as disposições da Lei Geral de Proteção de Dados nº 13.709/18.

7. Com quem seus dados podem ser compartilhados?

Tendo em vista a preservação de sua privacidade, não compartilhar-se-á seus dados pessoais com nenhum terceiro não autorizado.

Seus dados poderão ser compartilhados com parceiros comerciais, nesta hipótese, a organização informará quais dados serão compartilhados e com quem irá compartilhar. Ressalvado o compartilhamento dos dados sensíveis referente a saúde com o objetivo de obter vantagem econômica, conforme vedação imposta pelo art. 11, §4º da Lei Geral de Proteção de Dados nº 13.709/18.

Os terceiros interessados e parceiros comerciais receberão seus dados restritos aos necessários para a prestação dos serviços contratados. Destaca-se que os contratos são orientados pelas normas de proteção de dados do ordenamento jurídico brasileiro.

Todavia, os parceiros da organização têm suas próprias Políticas de Privacidade, que podem divergir desta. Recomenda-se a leitura desses documentos.

Além disso, também existem outras hipóteses em que seus dados poderão ser compartilhados, que são:

a) Determinação legal, requerimento, requisição ou ordem judicial, com autoridades judiciais, administrativas ou governamentais competentes;

b) Caso demovimentações societárias, como fusão, aquisição e incorporação, de forma automática;

c) Proteção dos direitos da empresa em qualquer tipo de conflito, inclusive os de teor judicial.

8. Transferência internacional de dados;

Alguns dos terceiros com quem a organização compartilha seus dados podem ser localizados ou possuir instalaçõeslocalizadas em países estrangeiros. Nessas condições, de toda forma, seus dados pessoais estarão sujeitos à LeiGeral de Proteção deDados nº 13.709/18 e às demaislegislações brasileiras de proteção de dados.

Nesse sentido, se compromete a sempre adotar eficientes padrões de segurança cibernética e de proteção de dados, nos melhores esforços de garantir e cumprir as exigênciaslegislativas.

Ao concordar com essa Política de Privacidade, você concorda com esse compartilhamento, que se dará conforme as finalidades descritas no presente instrumento.

9. Cookies ou dados de navegação

A organização faz uso de Cookies, que são arquivos de texto enviados pela plataforma ao seu computador e que nele se armazenam, que contém informações relacionadas à navegação do site. Em suma, os Cookies são utilizados para aprimorar a experiência de uso.

Ao acessar o site e consentir com o uso de Cookies, você manifesta conhecer e aceitar a utilização de um sistema de coleta de dados de navegação com o uso de Cookies em seu dispositivo.

Você pode, a qualquer tempo e sem nenhum custo, alterar as permissões, bloquear ou recusar os Cookies. Todavia, a revogação do consentimento de determinados Cookies pode inviabilizar o funcionamento correto de alguns recursos da plataforma.

Para gerenciar os cookies do seu navegador, basta fazê-lo diretamente nas configurações do navegador, na área de gestão de Cookies. Você pode acessar tutoriais sobre o tema diretamente nos links abaixo:

a) Se você usa o Internet Explorer.

b) Se você usa o Firefox.

c) Se você usa o Safari.

d) Se você usa o Google Chrome.

e) Se você usa o Microsoft Edge.

f) Se você usa o Opera.

10. Alteração desta Política de Privacidade

A organização reserva o direito de modificar essa Política de Privacidade a qualquer tempo, principalmente em função da adequação a eventuais alterações feitas no site ou em âmbito legislativo.

Eventuais alterações entrarão em vigor a partir de sua publicação no site e sempre, a organização, lhe notificará acerca dasmudanças ocorridas.

Ao utilizar os serviços e fornecer seus dados pessoais apóstais modificações, você às consente.

11. Responsabilidade

A organização se responsabiliza pelos agentes que atuam nos processos de tratamento de dados, em conformidade aos arts. 42 ao 45 da Lei Geral de Proteção de Dados nº 13.709/18. Comprometendo-se a manter esta Política de Privacidade atualizada, observando suas disposições e zelando porseu cumprimento.

Além disso, a organização assume o compromisso de buscar condiçõestécnicas e organizativasseguras aptas a proteger todo o processo de tratamento de dados.

Caso a Autoridade Nacional de Proteção de Dados (ANPD) exija a adoção de providências em relação ao tratamento de dados realizado pela organização, está se compromete a segui-las.

12. Isenção de responsabilidade

Conforme mencionado no item 6, embora a organização adote elevados padrões de segurança a fim de evitar incidentes, não há nenhuma página virtual inteiramente livre de riscos. A organização não se responsabiliza por:

a) Culpa exclusiva dos clientes/usuários, incluindo quaisquer consequências decorrentes da negligência, imprudência ou imperícia dos clientes/usuários em relação a seus dados individuais. A organização garante e se responsabiliza apenas pela segurança dos processos de tratamento de dados e do cumprimento das finalidades descritas no presente instrumento.

b) Culpa de terceiros, como açõesmaliciosas de estranhos à relação, como ataques de hackers, exceto se comprovada conduta culposa ou deliberada da empresa;

c) Inveracidade das informações inseridas pelo usuário/cliente nos registros necessários para a utilização dos serviços;

d) Quaisquer consequências decorrentes de informações falsas ou inseridas de má-fé são de inteira responsabilidade do usuário/cliente.

Destaca-se que em caso de incidentes de segurança que possam gerar risco ou dano relevante para você ou qualquer um dos usuários/clientes, a organização comunicará aos afetados e à Autoridade Nacional de Proteção de Dados (ANPD) sobre o ocorrido e cumprirá as providências necessárias.

13. Encarregado de Proteção de Dados

Caso tenha dúvidas sobre esta Política de Privacidade ou sobre os dados pessoais que a organização trata, você pode entrar em contato com o Encarregado de Proteção de Dados Pessoais

POLÍTICA DE RETENÇÃO E DESCARTE DE DADOS

1. Introdução

Considerando que, a alta direção se compromete a seguir a Lei Geral de Proteção de Dados nº 13.709/18, visando tomar todas as precauções para mitigar possíveis ocorrências internas e externas, conforme o art. 5º e os incisos IV e XIV da referida Lei.

Considerando que, a presente política estabelece a conformidade com os incisos mencionados, que preveem (i) a definição de banco de dados, que é o conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico e (ii) o conceito de eliminação de dados, fundado na exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado.

Considerando que, seguir-se-á a presente política, que estabelece o descarte de documentos inativos, devendo e não se limitando a:

a) Garantir que todos os dados sensíveis e não sensíveis de pessoas físicas e jurídicas, sejam acessados somente pelos responsáveis em desempenhar o regular tratamento para seus devidos fins;

b) Agir de forma adequada para solucionar questões levantadas pelos trabalhadores, colaboradores, terceirizados e outras partes interessadas, bem como comunicar quanto às decisões tomadas e orientar quanto a política adotada, caso se aplique;

c) Realizar descarte de documentos do banco de dados tangível e intangível, como forma de não reter dados sensíveis e não sensíveis;

d) Assegurar a melhoria contínua de modo a atingir o pleno e incontestável cumprimento da Lei Geral de Proteção de Dados nº 13.709/18, realizando todas as manutenções necessárias pertinentes a esse devido fim;

e) Assegurar consonância com a Legislação Arquivística Brasileira, para a eliminação dos documentos destituídos de valor legal, comprobatório ou histórico.

2. Objetivo

Complementar a Política Interna de Proteção de Dados e Política de Segurança da Informação, definindo as diretrizes para o devido armazenamento, manuseio e descarte de informações.

3. Classificação de Registros

3.1. Registros de Negócios: informações registradas em qualquer meio, criadas ou capturadas que reflitam circunstâncias, eventos, atividades, transações ou resultados criados ou mantidos como parte da condução das atividades operacionais.

3.2. Registros de Marketing e Comunicação: informações pessoais obtidas pela organização em campanhas publicitárias, ações promocionais e pesquisas; redes sociais; e serviço de atendimento ao consumidor – SAC.

Os Registros utilizados para fins de marketing ou de pesquisa permanecerão armazenados na base apenas enquanto perdurar o interesse do titular em receber esses materiais, sendo possibilitado o opt-out a qualquer tempo, o qual permite a revogação do consentimento, caso esta seja a base legal que fundamente a respectiva modalidade de tratamento.

3.3. Registros de Recursos Humanos: Dados Pessoais coletados para (i) gestão do RH, como por exemplo, gerenciamento de tempo de trabalho, salários, benefícios, contribuições previdenciárias e impostos; férias, licenças, ausências; (ii) gestão de carreira, como treinamentos, avaliações, experiência profissional, mobilidade no grupo; (iii) administração do RH para comunicação corporativa, trabalho em rede social da empresa e uso de ferramentas de computador e telefonia; organogramas, serviços corporativos, planejamento e orçamentos, relatórios, pesquisa,reorganizações, aquisições e cisões; (iv)saúde ocupacional, como atestados médicos, prontuário médico, atestados de saúde ocupacional e todos os demais relacionados à saúde do empregado; (v) recrutamento e seleção, como nome, gênero, estado civil, idade, dados de contato, RG, CPF, comprovante de endereço, dados bancários, informações de função, habilidades, experiências, qualificações, referências, currículo, dados de entrevista e avaliação, notas e registros da entrevista e qualquer outra informação que o candidato disponibilize para a organização; e (vi) gestão de viagens de negócios, como informações para organização de viagens (preferências, local etc.); CNH e despesas. Alguns Dados Pessoais são retidos após o término do contrato de trabalho, estágio ou contrato de trabalho temporário para cumprir os períodos legais de armazenamento definidos pela legislação trabalhista ou tributária.

3.4. Registros de Segurança: informações coletadas para gerenciamento do acesso e permanência nas instalações como nome, RG, CPF, foto, biometria, controle de crachá, instalações por CFTV, login e senha para acesso aos sistemas de informação.

4. Definição de Termos

4.1. Anonimização: técnica que resulta do tratamento de dados pessoais a fim de lhes retirar elementos suficientes para que deixe de ser possível identificar o titular dos dados, de forma irreversível.

Precisamente, os dadostêm de ser tratados de forma a que já não possam ser utilizados para identificar uma pessoa singular utilizando o conjunto dos meios suscetíveis de serem razoavelmente utilizados, seja pelo responsável pelo tratamento, seja por terceiros.

4.2. Dados Pessoais: qualquer informação relacionada a pessoa natural identificada ou identificável (titular dos dados), de qualquer natureza e independentemente do respectivo suporte. É considerada identificável a pessoa que possa ser identificada direta ou indiretamente, designadamente por referência a um número de identificação ou a mais elementos específicos da sua identidade física, fisiológica, psíquica, econômica, cultural ou social.

4.3. Dados Pessoais Sensíveis: dados sobre a origem racial ou étnica do seu titular, as suas opiniões políticas, as suas convicções religiosas ou filosóficas, informação genética, identificadores biométricos, vida sexual, orientação sexual ou sobre a sua saúde.

4.4. Definição de Perfis: qualquer forma de tratamento automatizado de dados pessoais consiste na utilização desses dados pessoais para, nomeadamente, incluir uma pessoa singular em determinada categoria, respeitante ao seu desempenho profissional, à sua situação econômica, saúde, preferências pessoais, interesses, comportamento, localização ou deslocações.

4.5. Encarregado da proteção de dados DPO (Data Protection Office): nomeado para ser responsável pela integridade dos dados pessoais e para atuar como canal de comunicação entre a empresa, os titulares dos dados e a Autoridade Nacional de Proteção de Dados(ANPD).

4.6. Usuário de Dados: toda pessoa física que compartilhe um dado pessoal e/ou dado pessoal sensível.

5. Diretrizes para armazenamento, anonimização e descarte

A informação é um ativo muito importante, por isso, todos os colaboradores e prestadores de serviços devem adotar comportamento seguro ao armazenar, manusear e descartar qualquer tipo de informação, bem como devem assumir atitude proativa no que diz respeito à proteção das informações da organização.

Todo o acesso à informação que não for explicitamente autorizado é proibido. Informações confidenciais não devem ser transportadas em qualquer tipo de mídia sem as devidas proteções e autorizações.

5.2. Armazenamento

Todas asinformações e dados de suporte físico categorizadas como confidenciais devem ser guardadas após o uso, no arquivo, serão armazenadas em caixas box lacradas e identificáveis em uma sala de acesso restrito, de forma a impedir o acesso de pessoas não autorizadas.

Todas as informações internas e confidenciais de suporte eletrônico deverão ser armazenadas em ambiente com acesso controlado e com senha, impedindo o acesso de pessoas não autorizadas, além de registro de acesso.

Todos os dados pessoais salvos na nossa base de dados devem ser fornecidos voluntariamente e conscientemente pelo usuário, deixando claro a sua utilização. Documentos, informações e dados pessoais de responsabilidade que forem armazenados em mídias móveis como Pen drive, HD, BD, DVD, CD e outros, deverão ser liberados pela área de TI e ter obrigatoriamente uma criptografia de alto nível e senha de alto nível.

Os servidores ou banco de dados que armazenam informações, dados e documentos devem possuir trilha de auditoria ativada para geração de log de acesso.

Todos os dados de autenticação devem ser armazenados para fazer recorrência. A única exceção à regra é o não armazenamento do Centro de Valorização da Vida (CVV). Somente devem ser armazenados os dados estritamente necessários, todo o resto deve ser descartado após a utilização.

5.3. Anonimização

A anonimização de dados é a prática de tratamento de dados que visa impossibilitar a identificação das pessoas relacionadas às informações. Os dados adequadamente anonimizados podem ser utilizados livremente, estando excluídos do escopo de aplicação de qualquer penalidade legal.

Neste sentido, quando a identificação do titular do dado não for essencial ou necessária para um determinado processo, tal como uma pesquisa interna ou externa, deverá ser feita a sua anonimização, a fim de que seja impossível o seu reconhecimento, mantendo-se as informações que são necessárias para fins estatísticos, desde que não haja qualquer tipo de possibilidade de se reconhecer o titular do dado.

Poderá ser utilizado qualquer método de anonimização, desde que torne a recuperação de dados pessoais impossível.

5.4. Descarte

Mantém os dados pessoais de seus usuários armazenados em seu sistema de dados e arquivos por tempo indeterminado, exceção realizada a requisições de titulares dos dados.

Os dados pessoais deverão ser excluídos em um prazo de até 07 dias corridos, quando solicitado pelo titular do dado, desde que de acordo com as premissas de segurança e regulatórias.

Os itens de descarte deverão ser registrados sempre que possível para uma auditoria, seguindo os seguintes parâmetros:

5.4.1. Descarte via solicitação do Titular do Dado: deverá ser gerado um número de protocolo ou similar que será fornecido ao titular. Nos registros deverá conter o protocolo, data, quantidade de dados descartados e número do solicitante.

5.4.2. Troca ou Descarte do Desktop: deverá ser registrado o modelo e marca do equipamento, usuário antigo e destino do equipamento, além de registrar a data que foi executado o procedimento cabível de descarte de dados.

5.4.3. Destruição dos dados via terceiro: informar o tipo de equipamento ou documento, quantidade se aplicável, método de destruição e comprovante da destruição.

5.4.4. Descarte de dados armazenados em meios físicos: Os dados digitais e/ou documentos impressos, categorizados como confidenciais, deverão ser enviados para armazenamento no setor de arquivos, para posterior descarte.

Sempre que solicitado por um departamento e/ou pessoa o descarte de um documento, o setor de arquivo emite um checklist (Pedido de Descarte) de todo conteúdo armazenado, para que o solicitante sinalize quais conteúdos serão descartados.

Após o solicitante indicar no checklist quais documentos deverão ser descartados, este deve indicar a data e assinar o Pedido de Descarte. O responsável pelo setor de arquivos irá providenciar o descarte dos documentos e, somente após isso, irá: descrever o processo utilizado para descarte dos dados, indicar a data de descarte e assinar o Pedido de Descarte, arquivando este documento como evidência do processo de descarte.

O descarte de documentos arquivados poderá ser realizado pelo responsável do setor de arquivos, utilizando uma máquina fragmentadora de papel, destinando os resíduos posteriormente para reciclagem.

Na hipótese de grande quantidade de documentos físicos a serem descartados, o processo de descarte poderá ser terceirizado, sendo destinado a empresa especializada em descarte de dados, que realiza o processo de fragmentação e posterior reciclagem, seguindo critérios ambientais para destinação final.

5.4.5. Descarte de dados armazenados em meios digitais: dispositivos que possuam informações classificadas como nível de confidencialidade elevado devem ser destruídos fisicamente ou as informações devem ser destruídas, utilizando técnicas que tornem a recuperação de dados impossível.

Documentos de baixa relevância podem utilizar processos de descarte mais simples.

Documentos, informações e dados pessoais pertencentes à organização. Armazenado em mídia móvel como

Pen drive, HD, BD, CD, DVD e outros, quando forem descartados, deverão ser destruídos (caso os dados não sejam de domínio público). Caso sejam dados categorizados como confidenciais, deverão preferencialmente fazer o descarte físico através dos meios citados no item 6.4.1 “Descarte de dados armazenados em meios físicos”

6.Retenção e descarte de dados pessoais

Para cada um desses cenários apresentados na seção 3, é definido a seguir o período máximo de retenção de Dados Pessoais, por categoria de Registro, descrição, bem como o formato de descarte.

6.1. Registro de Negócios

 Contato Comercial (nome; cargo; RG, CPF, endereço; país de origem, profissão, telefone; email):

Período para descarte: 10 anos

Quando aplicável, esse período é considerado após contato inicialsem resposta, ou prontamente, no caso de revogação do consentimento ou da manifestação de desinteresse em ser contatado.

● Contratos Gerais (nome; cargo; RG, CPF, endereço; país de origem, profissão, telefone; email; conta bancária; dados de cobrança):

Período para descarte: 10 anos

Período considerado após o término do contrato, quando aplicável.

● Documentos Tributários:

Período para descarte: 10 anos

Período a contar da data de emissão do documento, quando aplicável.

● Proteção do Crédito (nome; cargo; RG, CPF, endereço; país de origem, profissão, telefone; email):

Período para descarte: 5 anos

Período a contar além da durante da relação comercial, quando aplicável.

6.2. Marketing e Comunicação

● Campanhas Publicitárias, Ações Promocionais, Pesquisas e redes sociais (nome, RG, CPF, endereço, país de origem, e-mail, telefone, respostas a pesquisas, dados online capturados):

Período para descarte: 20 anos

Período a contar após a última atividade ou prontamente após revogação do consentimento, quando aplicável.

● Serviços de Atendimentos (nome, telefone, e-mail, endereço e CPF):

Período para descarte: 20 anos

Quando se aplica, período considerado após o último atendimento.

● Recursos Humanos e Gestão de RH:

Período para descarte: 10 anos

Período a contar após o término do contrato de trabalho, exceto FGTS (30 anos) e Folha de

Pagamento (10 anos).

● Gestão de Carreira:

Período para descarte: 15 anos

Período a contar após o término do contrato de trabalho.

● Saúde Ocupacional:

Período para descarte: 25 anos

Período a contar após o término do contrato de trabalho.

● Recrutamento e Seleção:

Período para descarte: 10 anos.

Aprovação do candidato: Durante o Contrato de Trabalho e mais 5 anos após o término.

6.3. Segurança

● Acesso às instalações físicas da organização (dados biométricos, nome, foto, RG, CPF):

Período para descarte: 30 dias.

Período a contar após o último acesso, quando aplicável.

● Acesso aos sistemas de informação da organização (login e senha)

Período para descarte: 30 dias.

Período a contar após o último acesso, quando aplicável.

7. Sanções e Punições

O descumprimento desta política e das políticas de segurança da informação poderá acarretarsanções e punições aos envolvidos.

8. Contate-nos

Poderá ser contatado o Encarregado de Proteção de Dados DPO, para prestar mais informações sobre o tratamento dos seus dados pessoais, bem como quaisquer questões relacionadas com o exercício dos direitos que lhe são atribuídos pela legislação aplicável e, em especial, os referidos na presente Política de Privacidade

Política de Segurança da Informação

1. Introdução

1.1 A segurança da informação é um aspecto crítico para o sucesso e a continuidade dos negócios da organização. Esta política estabelece as diretrizes, regras e procedimentos para garantir a confidencialidade, integridade e disponibilidade das informações.

2. Abrangência

2.1 Esta política é aplicável a todos os colaboradores, contratados, fornecedores e demais partes que tenham acesso às informações da organização.

3. Responsabilidades

3.1 Cada colaborador é responsável por:

 Proteger informações confidenciais e sensíveis da empresa;

 Utilizar senhas de forma segura e não as compartilhar com terceiros;

 Reportar imediatamente qualquer incidente de segurança da informação à equipe designada.

4. Senhas e Autenticação

4.1 Senhas devem ser robustas, incluindo letras maiúsculas, minúsculas, números e caracteres especiais.

4.2 Colaboradores devem utilizarsenhas exclusivas para diferentessistemas e aplicativos.

4.3 Senhas não devem ser compartilhadas, anotadas ou armazenadas em locais de fácil acesso.

4.4 A autenticação de dois fatores (2FA) deve ser habilitada sempre que possível.

5. Acesso a Sistemas e Informações

5.1 O acesso a sistemas e informações deve ser concedido com base no princípio do menor privilégio.

5.2 Colaboradores devem fazer logout de sistemas e terminar sessões de trabalho ao deixarem seus dispositivos.

5.3 O acesso remoto deve ser realizado por meio de conexões seguras, utilizando VPN quando aplicável.

6. Proteção de Dispositivos

6.1 Todos os dispositivos fornecidos pela empresa devem ser protegidos por senhas e/ou métodos de autenticação.

6.2 Atualizações de software e antivírus devem ser aplicadas regularmente.

6.3 Dispositivos móveis devem ser protegidos por PIN,senha ou biometria.

6.4 A perda ou roubo de dispositivos deve ser reportada imediatamente.

7. Manuseio de Informações Classificadas

7.1 As informações devem ser classificadas de acordo com seu nível de sensibilidade.

7.2 O compartilhamento de informações classificadas deve obedecer às políticas internas da empresa.

8. Monitoramento e Auditoria

8.1 A empresa reserva-se o direito de monitorar o uso de sistemas e redes para garantir a conformidade com esta política.

8.2 Auditorias de segurança podem ser realizadas periodicamente.

9. Treinamento e Conscientização

9.1 Colaboradores devem passar por treinamentos regulares em segurança da informação.

9.2 Campanhas de conscientização sobre ameaças cibernéticas devem ser realizadas regularmente.

10. Disposições Finais

10.1 O não cumprimento desta política pode resultar em medidas disciplinares, incluindo rescisão de contrato, bem como resultar na responsabilização cível e criminal, nos termos previstos pela legislação brasileira. 10.2 Alterações nesta política serão comunicadas aos colaboradores e demais partes interessadas

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO 2

1. Fundamentos e Conceitos de Política de Segurança

Considerando a implementação de controles de segurança se faz necessária a criação de processo de gestão da segurança da informação. Este processo considera o incentivo à definição de políticas de segurança, cujos escopos devem abarcar o gerenciamento de riscos baseado em análise quantitativa e qualitativa, como análises de custo benefício e programas de conscientização.

A gestão da segurança da informação inicia-se com a definição de políticas, procedimentos, guias e padrões. As políticas podem ser consideradas como o mais alto nível de documentação da segurança da informação, enquanto nos níveis mais baixos pode-se encontrar os padrões, procedimentos e guias. Não há hierarquia entre políticas, guias, procedimentos e padrões.

O primeiro documento a ser definido deve conter o comprometimento da alta administração, deixando clara a importância da segurança da informação e dos recursos computacionais para a missão institucional. É uma declaração que fundamenta a segurança da informação na totalidade da instituição. Deve conter ainda a autorização para a definição dos padrões, procedimentos e guias de mais baixo nível.

As políticas de alerta não são mandatórias, mas são fortemente incentivadas, normalmente incluindo as consequências da não conformidade com elas.

A política informativa é aquela que existe simplesmente para informar aos usuários de um determinado ambiente. Não implica necessariamente em requisitos específicos, sendo que seu público alvo podem ser determinados setores e, até mesmo, parceiros externos. Possui caráter genérico, pode ser distribuída para parceiros externos, como fornecedores, por exemplo, que acessam a rede do local, sem que isso acarrete o comprometimento da informação interna.

Os regulamentos de segurança são políticas que a instituição deve implementar em conformidade com legislação em vigor, garantindo aderência a padrões e procedimentos básicos de setores específicos.

Os padrões especificam o uso uniforme de determinadas tecnologias. Normalmente são mandatórios e implementados através de toda a instituição, com a finalidade de proporcionar maiores benefícios.

Os fundamentos ou princípios são semelhantes aos padrões, com pequena diferença. Uma vez que um conjunto consistente de fundamentos seja definido, a arquitetura de segurança de uma instituição pode ser planejada e os padrões podem ser definidos. Os fundamentos devem levar em consideração as diferenças entre as plataformas existentes, para garantir que a segurança seja implementada uniformemente em toda a instituição. Quando adotados, são mandatórios.

Os guias são similares aos padrões, embora mais flexíveis, se referindo a metodologias para os sistemas de segurança, contendo apenas ações recomendadas e são mandatórias. Consideram a natureza distinta de cada sistema de informação.

Podem ser usados para especificar a maneira que os padrões devem ser desenvolvidos, como quando indicam a conformidade com certos princípios da segurança da informação.

Os procedimentos contêm os passos detalhados que devem ser seguidos para a execução de tarefas específicas. São ações detalhadas que as partes interessadas pertinentes e não pertinentes devem seguir. São considerados como inseridos no mais baixo nível em uma cadeia de políticas.

O seu propósito é fornecer os passos detalhados para a implementação das políticas, padrões e guias. Também podem ser chamados de práticas. As responsabilidades devem estar relacionadas com o perfil de cada envolvido no processo, como nos exemplos listados a seguir:

a. Gerentes de mais alto nível: estão envolvidos com toda a responsabilidade da segurança da informação. Podem delegar a função de segurança, mas são vistos como o principal ponto quando são consideradas as responsabilizações por eventos relacionados com a segurança;

b. Profissionais de segurança dos sistemas de informação: recebem da gerência de mais alto nível a responsabilidade pela implementação e manutenção da segurança. Estão sob sua responsabilidade o projeto, a implementação, o gerenciamento e a revisão das políticas, padrões, guias e procedimentos;

c. Possuidores de dados: são responsáveis pela classificação da informação, podem também ser responsabilizados pela exatidão e integridade das informações;

d. Usuários: devem aderir às determinações definidas pelos profissionais de segurança da informação;

e. Auditor de sistemas de informação: são responsáveis pelo fornecimento de relatórios

para gerência superior sobre a eficácia dos controles de segurança, consolidados através de auditorias independentes e periódicas. Também analisam se as políticas, padrões, guias e procedimentos são eficazes e estão em conformidade com os objetivos de segurança definidos para a instituição.

2. Recomendações Gerais

2.1. Recomendações para o uso aceitável dosrecursos de TI

O uso correto e responsável dos recursos de TI deve ser aplicado a todos os usuários, inclusive as partes interessadas pertinentes, que utilizam esses recursos e a infraestrutura disponível.

Somente atividades lícitas, éticas e administrativamente admitidas devem ser realizadas, pelo usuário, no âmbito da infraestrutura de TI, ficando os transgressores sujeitos à Lei Penal, Civil e

Administrativa, na medida da conduta, dolosa ou culposa, que praticarem.

Os sistemas de TI deverão ser utilizados sem violação dos direitos de propriedade intelectual de qualquer pessoa, como marcas e patentes, nome comercial, segredo empresarial, domínio na

Internet, desenho industrial ou qualquer outro material que não tenha autorização expressa do autor ou proprietário dos direitos, relativos à obra artística, científica ou literária.

As informações devem ser utilizadas apenas para os propósitos definidos na sua missão institucional.

2.2. Recomendações para o uso seguro dosrecursos de TI

O envolvimento do usuário é importante no processo da segurança dos recursos de TI, pois é na adequada utilização destes recursos, como instrumento de trabalho, que se inicia a formação de uma sólida cultura de segurança da informação. Desta forma, recomenda-se aos usuários a adoção das seguintes práticas:

a) Manter registro das cópias de segurança;

b) Guardar as cópias de segurança em local seguro e distinto daquele onde se encontra a informação original;

c) Utilizar um método de senhas que garante a segurança do usuário;

d) Alterar periodicamente suas senhas;

e) Utilizar um método de segurança que garanta o atendimento com o art. 46 e 47 da Lei

Geral de Proteção de Dados nº 13.709/18, de acessos não autorizados;

f) Certificar a procedência do site e a utilização de conexõesseguras ao realizartransações via web;

g) Certificar que o endereço apresentado no navegador corresponde ao site que realmente se quer acessar, antes de realizar qualquer ação ou transação;

h) Digitar no navegador o endereço desejado e não utilizar links como recurso para acessar um outro endereço destino;

i) Não abrir arquivos ou executar programas anexados a e-mails, sem antes verificá-los com um antivírus;

j) Não utilizar o formato executável em arquivos compactados, pois estes tipos são propícios à propagação de vírus.

2.3. Recomendaçõessobre atividades permitidas

a) Utilizar programas de computador licenciados para uso;

b) A instalação de programas e sistemas homologados é atribuição da administração de sistemas e TI;

c) Criar, transmitir, distribuir, disponibilizar e armazenar documentos, desde que respeite às leis e regulamentações, notadamente àqueles referentes aos crimes informáticos, ética, decência, pornografia envolvendo crianças, honra e imagem de pessoas ou empresas, vida privada e intimidade.

2.4. Recomendações sobre atividades não permitidas

a) Introduzir códigos maliciosos nos sistemas de TI;

b) Revelar códigos de identificação, autenticação e autorização de uso pessoal (conta, senhas, chaves privadas etc.) ou permitir o uso por terceiros de recursos autorizados por intermédio desses códigos;

c) Divulgar ou comercializar produtos, itens ou serviços a partir de qualquer recurso dos sistemas de TI;

d) Tentar interferir sem autorização em um serviço,sobrecarregá-lo ou, ainda, desativá-lo, inclusive aderir ou cooperar com ataques de negação de serviços internos ou externos;

e) Alterar registro de evento dos sistemas de TI;

f) Modificar cabeçalho de qualquer protocolo de comunicação de dados;

g) Obter acesso não autorizado, ou acessar indevidamente dados, sistemas ou redes, incluindo qualquer tentativa de investigar, examinar ou testar vulnerabilidades nos sistemas de TI;

h) Monitorar ou interceptar o tráfego de dados nos sistemas de TI, sem a autorização de autoridade competente;

i) Violar medida de segurança ou de autenticação, sem autorização de autoridade competente;

j) Fornece informações a terceiros, sobre usuários ou serviços disponibilizados nos sistemas de TI, exceto os de natureza pública ou mediante autorização de autoridade competente;

k) Fornecer dados classificados de acordo com a legislação vigente, sem autorização de autoridade competente;

l) Armazenamento ou uso de jogos em computador ou sistema informacional;

m) Uso de recurso informacional para fins pessoais, incluindo entre estes o comércio, venda de produtos ou engajamento em atividades comerciais de qualquer natureza;

n) Uso de aplicativos não homologados nos recursosinformacionais. 3. Recomendações Específicas 3.1. Recomendações para controle de acesso à:

a) O acesso a informações rotuladas como públicas e uso interno não é restringido com controles de acesso que discriminam o usuário. Por outro lado, o acesso às informações confidenciais ou restritas serão permitidas apenas quando uma necessidade de trabalho tiver sido identificada e tal acesso aprovado pela unidade responsável. Da mesma forma, o acesso a alguns equipamentos de hardware e/ou software especiais (como equipamentos de diagnóstico de rede chamados “sniffers”) deve ser restrito a profissionais competentes, com uso registrado e baseado nas necessidades do local.

b) Recursos automáticos: Será dado a todos os usuários, automaticamente, o acesso aos serviços básicos como correio eletrônico, aplicações de produtividade e browser WEB. Estas facilidades básicas irão variar de acordo com os cargos. Todos os outros recursos dos sistemas serão providos via perfis de trabalho ou por uma solicitação especial feita ao proprietário da informação envolvida. A existência de acessos privilegiados, não significa por si só, que um indivíduo esteja autorizado a usar esses privilégios.

c) Solicitação de acesso: As solicitações para novasidentificações de usuários e alterações de privilégios devem ser feitas por escrito e aprovadas pela chefia imediata do usuário antes que um administrador de sistema realize tal solicitação. Os usuários devem declarar, claramente, porque são necessárias alterações em seus privilégios e a relação de tais alterações com as atividades exercidas;

d) O processo de aprovação do acesso deve ser iniciado pelo superior do usuário e os privilégios garantidos continuarão em efeito até que o usuário mude suas atividades ou deixe-as. Se um desses dois eventos ocorrer, o superior hierárquico tem que notificar imediatamente a unidade responsável. Todos aqueles que não são usuários diretos (contratados, consultores, temporários, etc.) têm que se submeter a um processo semelhante através de seus gerentes de projetos. Os privilégios destas pessoas deverão ser imediatamente revogados quando da finalização do projeto. O mesmo deverá ser observado no desligamento antecipado, considerando ainda a responsabilização pelas atividades e atos cometidos durante a sua permanência no local.

e) Os privilégios para todos os usuários dos serviços da rede deverão ser revistos a cada seis meses.

f) Termo de Responsabilização e Sigilo: Todos os usuários que desejam usar os sistemas devem assinar este termo antes de acessar as dependências do local. Nos casos em que o usuário já possua a identificação e acesso ao local, mas que ainda não tenha assinado tal termo, a assinatura do termo deve ser obtida em caráter de urgência. A assinatura deste termo indica que o usuário em questão entende e concorda com as políticas, padrões, normas e procedimentos relacionados ao ambiente de TI (incluindo as instruções contidas neste documento), bem como as implicações legais decorrentes do não cumprimento do disposto.

g) Senha de Acesso: As senhas de acesso são controles de segurança essenciais para os sistemas de segurança do ambiente de TI. Para garantir que ossistemas de segurança façam a parte do trabalho para o qual eles foram desenvolvidos, os usuários devem escolher senhas que sejam difíceis de serem deduzidas.

h) Proibição de Senhas de Acesso Cíclicas: Os usuários dos recursos de TI devem utilizar sempre novassenhas e o histórico dassenhas já utilizadas deve ser mantido pelo banco de dados. Os usuários podem escolher senhas de fácil memorização, mas que sejam ao mesmo tempo difíceis de serem descobertas por outras pessoas.

i) Encadear várias palavras formando o que é conhecido como “frases de acesso”. Combinar números e pontuação em uma palavra regular.

j) Criar acrônimos a partir de palavras de música, um poema ou outra sequência de palavras conhecidas.

k) Em caso de suspeita de exposição indevida do ambiente de TI,todas assenhas de acesso devem ser imediatamente alteradas.

l) Os usuários devem possuir orientação sobre a manutenção sigilosa das suas senhas de acesso e as responsabilidades envolvidas com o mal uso das mesmas. Independente das circunstâncias, as senhas de acesso não devem ser compartilhadas ou reveladas para outras pessoas que não o usuário autorizado, ficando o proprietário da senha responsável legal por qualquer prática indevida cometida.

m) Em caso de comprometimento comprovado da segurança do ambiente de TI por algum evento não previsto, todas as senhas de acesso deverão ser modificadas. Nestes eventos uma versão segura do sistema operacional assim como dos softwares de segurança deverá ser baixada novamente. Da mesma forma, sob uma dessas circunstâncias, todas as alterações recentes de usuários e privilégios do sistema devem ser revisadas a fim de detectar modificações não autorizadas de dados.

n) Todos os usuários têm que ser corretamente identificados antes de estarem aptos a utilizar qualquer atividade em computador ou recursos do ambiente de TI.

o) Quaisquer computadores que tenham comunicação remota em tempo real com os sistemas de TI, devem se submeter ao mecanismo de controle de acesso definido pela unidade competente, levando-se sempre em consideração os privilégios necessários ao acesso a cada tipo de informação.

p) Os computadores com informações sensíveis e/ou classificadas deverão, obrigatoriamente,ser desligados ou bloqueados na ausência do usuário.

q) Quando os equipamentos ou contas de usuário não estiverem em uso deverão ser imediatamente bloqueados ou desligados. 4. Recomendação para a Utilização do Correio Eletrônico Corporativo

a) Deve ser vedado o acesso não autorizado às caixas postais de terceiros e as tentativas de acesso deverão ser registradas em log, inclusive acessos feitos indevidamente por administradores de sistemas;

b) Deve ser vedado o envio de informações críticas para pessoas ou organizações não autorizadas observando quando for o caso, orientações para o tratamento de informações classificadas;

c) Deve ser vedado o envio de material obsceno, ilegal ou não ético, envio de propaganda, mensagem do tipo corrente e de entretenimento, relacionadas com nacionalidade, raça, orientação sexual, religiosa, convicção política ou qualquer outro assunto que possa vir a difamar o usuário como cidadão e que não tenha relação com o serviço a que o usuário é destinado no ambiente do TI;

d) Deve ser vedado o envio de mensagens simultâneas aos usuários da rede, exceto por intermédio da administração desta;

e) É necessário o registro por parte do usuário, enquanto funcionário, nas listas de discussão em que se encontra inserido, para fins de controle e possível cancelamento quando houver necessidade;

f) É recomendada a utilização de Assinatura Digital, para o envio de mensagens internas via Correio Eletrônico Corporativo quando do trâmite de informações classificadas, seguindo sempre a legislação vigente que trata deste assunto.

5. Recomendação para a Utilização de Aplicações Corporativas e Software de Terceiros

a) Deve ser vedado aos usuários que fazem uso de sistemas de informação o acesso não autorizado a qualquer outro sistema que não possua permissão de uso, assim como a danificação, a alteração a interrupção da operação de qualquer sistema do ambiente de TI.

Da mesma maneira deve ser vedado aos usuários a obtenção indevida de senhas de acesso, chaves criptográficas ou qualquer outro mecanismo de controle de acesso que possa possibilitar o acesso não autorizado a recursos informacionais;

b) A classificação ou reclassificação da informação deve seguir as orientações da legislação vigente;

c) Deve ser vedado aos usuários o acesso, modificação, a remoção ou a cópia de arquivos que pertençam a outro usuário sem a permissão expressa do mesmo;

d) Deve reservar o direito de revogar os privilégios de usuário de qualquer sistema e a qualquer momento. Não sendo permitidas condutas que interfiram com a operação normal e adequada dos sistemas de informação e que adversamente afetam a capacidade de outras pessoas utilizarem esses sistemas de informação, bem como condutas que sejam prejudiciais e ofensivas;

e) Deve ser vedada aos usuários a execução de testes ou tentativas de comprometimentode controles interno, este tipo de prática somente pode ser permitido a usuários técnicos,em situações nas quais esteja ocorrendo monitoramento e análise de riscos, com a autorização da unidade competente;

f) Deve ser exigido a assinatura de termo de confidencialidade antes que seja fornecido o acesso aos sistemas relacionados com a cadeia de privilégios do usuário;

g) As configurações e atribuição de parâmetros em todos os computadores conectados à rede devem estar de acordo com as políticas e normas de gerenciamento internas;

h) Quanto ao desligamento do usuário, seus arquivos armazenados em estação de trabalho ou em qualquer servidor de rede, também, seus documentos em papel devem ser imediatamente revisados pela chefia imediata para determinar quem tornará curador das informações relacionadas, assim como nos casos devidos, identificar o método mais adequado para a eliminação das mesmas, levando-se em conta as orientações sobre a eliminação de informações classificadas contidas na legislação vigente. Todas as atividades dos usuários que podem afetar os sistemas de informação devem ser possíveis de reconstituição a partir dos logs de maneira a evitar ou dissuadir o comportamento incorreto. Estes procedimentos devem contar inclusive com mecanismos de responsabilização claros e amplamente divulgados nos meios de comunicação internos.

i) A divulgação das regras e orientações de segurança aplicadas aos usuários finais deverão ser objeto de campanhas internas permanentes, seminários de conscientização e quaisquer outros meios de maneira a criar uma cultura de segurança.

j) Deve ser vedada a utilização de software da Internet ou de qualquer outro sistema externo. Esta proibição é necessária porque tal software pode conter vírus, worms, Cavalos de Tróia e outros podem comprometer o ambiente de TI. Caso haja uma legítima necessidade de obtenção de aplicações de terceiros o fato deve ser comunicado à unidade competente para que a mesma estabeleça os procedimentos de segurança necessários.

Deve ser vedada a utilização de dispositivos de armazenamento de origem externa, nas estações de trabalho ou nos servidores de rede antes de serem submetidos a um software antivírus. Todos os softwares e arquivos transferidos de fontes que não sejam próprias, via Internet (ou qualquer outra rede Pública) devem ser examinados com o software de detecção de vírus. Este exame deve acontecer antes que o arquivo seja executado ou aberto por um outro programa, como por exemplo, por um processador de texto e também, antes e depois que o material tenha sido descompactado.

k) O usuário do ambiente de TI, não deve executar ou desenvolver qualquer tipo de programa ou processo externo às suas atividades.

l) Os usuários não devem desenvolver, gerar, compilar, copiar, coletar, propagar, executar ou tentar introduzir qualquer código projetado para se auto replicar, danificar ou de outra maneira obstruir o acesso ou afetar o desempenho de qualquer computador, rede ou sistema de TI. Deve ser vedado aos usuários e visitantes fumar, comer ou beber próximo aos equipamentos de TI.

6. Recomendação para a Manipulação dasInformações

a) A palavra “usuário” será utilizada para designar todos utilizadores do ambiente de TI, independente do cargo ocupado;

b) Instruções claras e bem divulgadas sobre normas existentes sobre a manipulação de informações;

c) Todos os usuários têm que observar as exigências para manipulação da informação, baseadas no tipo de informação considerada e que será definida pelo seu proprietário (ou responsável)seguindo as orientações encontradas no documento de Política de Segurança.

Os proprietários podem atribuir controles adicionais para maior restrição de acesso ou para ampliar a proteção a suas informações;

d) A divulgação de informações CONFIDENCIAIS ou RESTRITAS, para qualquer pessoa (usuário ou não do ambiente de TI), é proibida, a menos que este acesso tenha sido previamente autorizado pelo proprietário da informação. Todas as pessoas que não forem usuários diretos, devem assinar um termo de confidencialidade antes de terem acesso a esses tipos de informação. Os curadores dessas informações devem verificar a existência deste termo, devidamente assinado, antes de divulgá-las para pessoas que não pertençam ao quadro funcional. O acesso a este tipo de informação deve ser sempre devidamente registrado;

e) A reprodução da informação CONFIDENCIAL e/ou RESTRITA, incluindo a impressão de cópias adicionais, não é permitida a menos que seja explicitamente autorizada por seu proprietário. Da mesma forma, trechos, resumos, traduções ou qualquer material derivado de informações sensíveis ou resguardadas por direitos autorais, não poderão ser feitos a menos que o proprietário da informação tenha aprovado previamente;

f) O transporte físico das informações CONFIDENCIAIS e/ou RESTRITAS requer a observação no disposto em legislação relacionada;

g) Quando as informações são CONFIDENCIAIS e/ou RESTRITAS não forem mais necessárias e quando exigências legais ou regulatórias para sua retenção não se aplicarem mais, elas deverão ser destruídas de acordo com os métodos aprovados. É proibida a eliminação em latas de lixo ou em depósitos de papel que serão encaminhados para reciclagem. A informação sensível em forma de papel deve ser eliminada com o uso de picotador de papel. A informação sensível armazenada em disquetes, fitas magnéticas ou outras mídias magnéticas computacionais deve ser destruída via reformatação ou apagando-se a informação caso a mídia seja reutilizada por outros sistemas. A simples “remoção” de uma informação sensível armazenada em uma mídia magnética não é suficiente porque a informação pode ser definitivamente destruída com cortadores ou colocada em um recipiente especialmente destinado a armazenagem de informação sensível que será destruída.

7. Responsabilidade

É de competência de cada unidade e responsabilidade para assinatura de seus usuários, objetivando a declaração de conhecimento de suas normas de segurança. As transgressões a tais normas deverão ser apuradas em conformidade com a legislação aplicável.

Política de Senhas e Autenticação

1. Objetivo:

1.1 Esta política estabelece as diretrizes para a criação, uso e proteção de senhas, bem como os requisitos de autenticação para o acesso a sistemas da organização.

2. Senhas:

2.1 As senhas são um componente essencial da segurança da informação. Para garantir a proteção adequada, as seguintes diretrizes devem ser seguidas:

 As senhas devem ter no mínimo oito caracteres.

 Devem incluir uma combinação de letras maiúsculas e minúsculas, números e caracteres especiais.

 As senhas não devem ser facilmente relacionadas a informações pessoais (como nomes, datas de nascimento, etc.).

 As senhas devem ser alteradas regularmente, a cada 6 (seis) meses.

 Senhas não devem ser compartilhadas ou divulgadas a terceiros.

3. Autenticação de Dois Fatores (2FA):

3.1 A autenticação de doisfatores(2FA) é uma camada adicional de segurança. De acordo com esta política:

 A 2FA deve ser habilitada para todos os sistemas e aplicativos que oferecem suporte a essa funcionalidade.

 O uso da 2FA é obrigatório para o acesso a sistemas e informações críticas.

4. Proteção de Senhas:

4.1 Para garantir a segurança das senhas armazenadas e transmitidas, as seguintes medidas devem ser tomadas:

 Senhas não devem ser armazenadas em formatos legíveis. Em vez disso, devem ser adequadamente criptografadas.

 A transmissão de senhas deve ocorrer por meio de canais seguros, com protocolos de criptografia.

5. Gerenciamento de Acesso:

5.1 O acesso a sistemas e informações deve ser gerenciado de acordo com o princípio do menor privilégio:

5.1.1 Cada usuário deve receber acesso apenas às informações e recursos necessários para desempenhar suas funções.

5.1.2 O acesso deve ser revisto regularmente e ajustado conforme necessário.

6. Monitoramento e Auditoria:

6.1 A organização reserva-se o direito de monitorar o uso de senhas e conduzir auditorias de segurança para garantir a conformidade com esta política.

6.2 Tentativas suspeitas de acesso ou violações de senha devem ser relatadas imediatamente à equipe de segurança da informação.

7. Conscientização e Treinamento:

7.1 A organização fornecerá treinamentos regulares sobre boas práticas de segurança da informação, incluindo a criação e gestão de senhas seguras.

8. Disposições Finais:

8.1 O não cumprimento desta política pode resultar em medidas disciplinares, incluindo rescisão de contrato e responsabilização por eventuais danos causados.

8.2 Alterações nesta política serão comunicadas aos usuários de forma eficaz

Política de Utilização do Selo Cyber

Considerando que, a organização se preocupa com a proteção de seu ambiente digital e se propôs a cumprir todas as políticasinerentes à Certificação Cyber,se propõe também, diante da contratação, a cumprir as especificações de utilização do selo.

Dada a finalização do processo de adequação da conformidade dos procedimentos da organização, diante da emissão do certificado, a Intuix autorizará a organização a utilizar o selo de conclusão da referida certificação.

Entretanto, a organização se compromete a utilizar o selo, internamente ou para veiculação publica, de forma ética e de acordo com as diretrizes da certificação, bem como de acordo com as especificações técnicas:

 Deverá ser respeitado o formato circular do selo;

 Deverão ser respeitados os dizeres (texto) original do selo;

 Deverá ser respeitada a data de validade, sendo proibida sua alteração;

 OQR-code deverá corresponder ao emitido no momento da conclusão da certificação e não poderá ser substituído ou adulterado;

 As cores do selo não poderão ser alteradas, respeitando os códigos de referência, “#6B6B6B”, “#484848” e “#2E2E2E”.

Destaca-se que é proibida a utilização do selo sem a conclusão da certificação. O selo não poderá, em hipótese alguma, ser utilizado de modo que afronte ou desvie sua finalidade, sendo ela, a confirmação da conclusão da certificação que guarda referência.

Qualquer afronta, descumprimento da presente política acarretará a perda da certificação, bem como a responsabilização cível e criminal, nos termos previstos na legislação brasileira

Política de Utilização do Selo LGPD

Considerando que, a organização se preocupa em cumprir integralmente a Lei Geral de

Proteção de Dados nº 13.709/18 e se propôs a cumprir todas as políticas inerentes à Certificação LGPD, se propõe também, diante da contratação, a cumprir as especificações de utilização do selo.

Dada a finalização do processo de adequação da conformidade dos procedimentos da organização, diante da emissão do certificado, a Intuix autorizará a organização a utilizar o selo de conclusão da referida certificação.

Entretanto, a organização se compromete a utilizar o selo, internamente ou para veiculação publica, de forma ética e de acordo com as diretrizes da certificação, bem como de acordo com as especificações técnicas:

 Deverá ser respeitado o formato circular do selo;

 Deverão ser respeitados os dizeres (texto) original do selo;

 Deverá ser respeitada a data de validade, sendo proibida sua alteração;

 OQR-code deverá corresponder ao emitido no momento da conclusão da certificação e não poderá ser substituído ou adulterado;

 As cores do selo não poderão ser alteradas, respeitando os códigos de referência, “#BAB9B9”, “#959595” e “#5B5B5B”.

Destaca-se que é proibida a utilização do selo sem a conclusão da certificação. O selo não poderá, em hipótese alguma, ser utilizado de modo que afronte ou desvie sua finalidade, sendo ela, a confirmação da conclusão da certificação que guarda referência.

Qualquer afronta, descumprimento da presente política acarretará a perda da certificação, bem como a responsabilização cível e criminal, nos termos previstos na legislação brasileira

POLÍTICA INTERNA DE PROTEÇÃO DE DADOS

1. Definições

Para fins de cumprimento da Lei Geral de Proteção de Dados nº 13.709/18, de acordo com o Capítulo 1 “Disposições Preliminares”, o art. 5° especifica as principais informações determinantes:

Dado pessoal: qualquer informação relacionada a uma pessoa natural identificada ou identificável. Dado pessoalsensível: qualquer dado pessoal que contenha informação sobre:

 Origem racial ou étnica.

 Convicção religiosa.

 Opinião política.

 Filiação a sindicato ou organização de caráter religioso, filosófico ou político.

 Saúde.

 Vida sexual.

 Genética ou biometria.

Titular: Pessoa natural (física) a quem se referem os dados. Tratamento: qualquer operação com os dados pessoais, incluindo armazenamento.

Consentimento: manifestação livre e inequívoca pela qual o titular concorda com o tratamento dos seus dados pessoais para uma finalidade específica.

Operador: pessoa física ou jurídica, de direito público ou privado, que realiza o tratamento dos dados pessoais em nome do controlador. São operadores os empregados, prestadores de serviço e demais parceiros que participam do tratamento de dados pessoais dentro da empresa.

Controlador: pessoa física ou jurídica, de direito público ou privado, que administra e toma decisões sobre o tratamento de dados pessoais.

Agentes de tratamento: o controlador e o operador.

Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

Encarregado de Dados (DPO): pessoa indicada pelo controlador para ser responsável pela comunicação entre o controlador, ostitulares dos dados e a Autoridade Nacional de Proteção de Dados (ANDP).

Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

2. Objetivo da política interna de proteção de dados

A organização deve orientar a todos os membros acerca das boas práticas em proteção de dados pessoais, visando conformidade com a Lei nº 13.709 de 14 de agosto de 2018, a Lei Geral de Proteção

de Dados Pessoais. 3. Contexto da LGPD

A Lei Geral de Proteção de Dados foi aprovada em 2018, com o objetivo de trazer ao ordenamento jurídico brasileiro uma preocupação que já tem lugar em todos os países desenvolvidos: a proteção de dados pessoais. No mundo todo, a legislação de proteção a dados de pessoas naturais é um instrumento necessário para garantir maior segurança jurídica e o respeito aos direitos humanos fundamentais. Assim sendo, a conformidade com taisleistem sido um fator importante internamente.

4. Princípios da LGPD

São os princípios norteadores da Lei Geral de Proteção de Dados e, também, os desta política interna:

Adequação: o tratamento dos dados tem que ser compatível com a finalidade informada ao titular.

Necessidade: o tratamento deve ser limitado ao mínimo necessário para atingir a finalidade proposta.

Livre acesso: os titulares têm o direito de acessar a qualquer tempo as informações referentes ao tratamento que seus dados recebem.

Qualidade dos dados: o tratamento dos dados deve mantê-los exatos, claros, relevantes e atualizados, sem discrepâncias ou distorções.

Transparência: o tratamento dos dados deve ser explicado aos titulares de maneira transparente e acessível, observado o segredo comercial e industrial necessário.

Segurança: os dados pessoais devem ser protegidos pelo controlador, para que não sejam perdidos, alterados, destruídos ou acessados indevidamente.

Prevenção: cabe ao controlador tomar medidas para prevenir danos provenientes do tratamento de dados pessoais.

Não discriminação: o tratamento de dados pessoais não deve ser realizado com finalidades discriminatórias, ilícitas ou abusivas.

Responsabilização e prestação de contas: demonstração, aos titulares, das medidas utilizadas para garantir conformidade com a Lei Geral de Proteção de Dados Pessoais.

5. Responsabilidade compartilhada

A responsabilidade pelo correto tratamento dos dados pessoais é compartilhada entre todos que atuam como controladores e operadores, sendo fundamental a cooperação de todos para que a empresa esteja sempre em conformidade com a lei, oferecendo segurança a todos os titulares de dados pessoais sob seu controle. Nos termos dos art. 42 e seguintes da Lei Geral de Proteção de Dados nº 13.709/18, o operador de dados pessoais que descumprir as diretrizeslícitas de proteção de dados do controlador responderá como se também fosse controlador dos dados em questão, estando assim sujeito à responsabilidade civil, administrativa e criminal sobre o tratamento inadequado dos dados. Segundo art. 23 da mesma Lei, a violação de segredos da organização, concepção que inclui dados pessoais sob seu controle, poderá a critério exclusivo da Direção ser motivo para embasar a demissão por justa causa de colaboradores ou a rescisão de contrato de prestadores de serviços envolvidos na violação,sem prejuízo das ações de regresso cabíveis judicialmente.

6. Tratamento dos dados pessoais

O tratamento de dados deve seguir os princípios definidos nesta política, devendo ser estritamente voltado às finalidades às quais as coletas dos dados se destinam, respeitando os princípios desta política e os critérios de compartilhamento e de segurança dasinformações.

Os dados pessoais devem ser manipulados apenas por pessoas que precisem lidar com eles.

Assim, reduzem-se os riscos de falhas humanas propiciando um vazamento ou uso inadequado da informação. Para garantia, é necessário dividir os dados porsetores e por responsabilidades específicas dentro de cada setor. Assim se saberá em cada situação quem são os operadores dos dados e os riscos de um incidente na segurança da informação diminuem. Para garantir este tratamento setorizado dos dados, cada acesso ao banco de dados da empresa é individual e intransferível. Assim,somente pessoas autorizadas poderão ter acesso.

O mero acesso e/ou a utilização indevida de quaisquer dados pessoais armazenados ou processados pela empresa são terminantemente proibidos, sob pena de demissão por justa causa (ou rescisão do contrato de prestação de serviços e/ou fornecimento), sem prejuízo da responsabilização cível e criminal cabível em âmbito judiciário do infrator.

7. Critérios de coleta dos dados pessoais.

As informações referentes a pessoas físicas somente devem ser coletadas na medida da necessidade para a prestação de serviços e/ou fornecimento. Em todas as hipóteses é devido o consentimento para o tratamento dos dados, que deverá ser obtido em conformidade com a Lei Geral de Proteção de Dados nº 13.709/18.

O consentimento é requerido ao solicitar os dados aos titulares, quando necessário, através do aceite no campo apropriado do sistema ou mediante e-mail resposta à solicitação.

8. Critérios de armazenagem dos dados pessoais.

Quanto à armazenagem, devem seguir as seguintes diretrizes:

Quando armazenados fisicamente: os dados devem ficar em local protegido, fora do alcance de outras pessoas que não são expressamente autorizadas a acessá-los.

Quando armazenados digitalmente: devem ficar em pasta protegida por criptografia e restrição de acesso por senha pessoal.

Eventuais cópias de dados pessoais somente devem ser feitas em caso de necessidade para cumprimento da finalidade proposta ao tratamento, todas as cópias devem ser administradas internamente e protegidas para que não ocorra vazamento de dados.

9. Critérios de compartilhamento interno de dados pessoais.

Os dados pessoais somente podem ser compartilhados com pessoas cuja função dentro da empresa exija que elas tenham acesso. Por exemplo: dados referentes a saúde ocupacional, como atestados médicos, exames admissionais e outros, só podem ser compartilhados dentro da empresa com pessoas responsáveis pelo tratamento dessas informações, como o responsável pelo RH. Não podendo ser compartilhados com alguém da área técnica que não precise ter acesso a esses dados para o cumprimento de suas funções.

10. Critérios de compartilhamento externo de dados pessoais.

O compartilhamento de dados pessoais com pessoas ou entidades externas à empresa deve ser restrito ao mínimo necessário para a execução dos contratos e prestações de serviços e/ou fornecimentos, que os titulares estão envolvidos, incluindo o cumprimento de obrigações legais.

Mesmo quando o tratamento envolver diretamente a prestação de serviços e/ou o fornecimento, o consentimento para este tratamento e compartilhamento deverá ter sido previamente obtido.

11. Critérios de eliminação dos dados pessoais.

Quando atingida a finalidade do tratamento dos dados pessoais e o armazenamento, para satisfazer quaisquer exigências legais, for desnecessário, estes deverão ser devidamente eliminados física e digitalmente. O titular deve ser comunicado desta eliminação nos casos em que ela se dê de maneira diversa à prevista no termo de consentimento aplicável.

12. Prestação de informações e transparência.

Os operadores de dados pessoais deverão prover todas as informações requeridas pelos titulares acerca do tratamento de seus dados pessoais, respeitando o direito da empresa de manter sigilo comercial quando cabível. A finalidade do tratamento deve ser sempre evidenciada e transparente.

Quando houver solicitação da prestação de informações sobre os dados pessoais pelo titular destes, os operadores deverão informar ao Encarregado da Proteção de Dados Pessoais sobre a solicitação e então prestar as informações solicitadas ao titular.

13. Encarregado da Proteção de Dados Pessoais (DPO).

O encarregado da proteção de dados pessoais DPO é a pessoa responsável, nos termos da Lei

Geral de Proteção Dados nº 13.709/18, pela comunicação com os titulares.

São atribuições do encarregado: verificar os riscos existentes, apontar as medidas corretivas e avaliar periodicamente a segurança de dados pessoais dentro da empresa, devendo também realizar eventuais comunicações necessárias com os titulares ou com o poder público.

Quaisquer questionamentos que surgirem no dia a dia da empresa acerca da proteção de dados pessoais devem ser levados ao encarregado para que este possa orientar de imediato o operador ou buscar junto às entidades especializadas uma orientação adequada ao questionamento levantado.

14. Relatório de Impacto à Proteção de Dados Pessoais.

O Encarregado da Proteção de Dados Pessoais manterá relatório de avaliação de riscos e impactos à proteção de dados pessoais, por meio dele, as medidas necessárias à segurança da informação de dados pessoais poderão ser estruturadas, implementadas e avaliadas.

Quando necessário é realizada a elaboração de um relatório de impacto e o encarregado de dados ficará responsável por informar os riscos e procedimentos necessários quando ocorre o vazamento de dados

POLÍTICA DE COOKIES

Considerando que a organização preza pela transparência e honestidade sobre a coleta e utilização dos dados relativos a você. A presente Política de Cookies é aplicada a todos os produtos e serviços relacionados ou incorporados pela própria Política à organização. Utiliza-se cookies e tecnologias semelhantes, para coletar e utilizar dados como parte dos serviços, conforme definidos nesta Política de

Privacidade.

Cookies são pequenos arquivos de texto que armazenam por um determinado período as atividades do usuário. Cookies armazenam seu histórico de navegação, bem como logins e senhas. É por causa deles que você pode acessar a sua conta sem precisar sempre digitar seus dados cadastrais novamente, pois o navegador utiliza os cookies e faz isso por você. Além de vários aspectos funcionais, os cookies também cumprem um excelente serviço em sistemas bastante conhecidos como o Google Drive,

Termo de Aceitação de Termos e Condições

Considerando que a organização se preocupa a adequação do uso dossistemas,software e serviços fornecidos, por este motivo formaliza o presente termo.

1. Objetivo:

1.1 Este Termo de Aceitação tem como finalidade formalizar a concordância do Usuário com os termos e condições relacionados ao uso dos sistemas, software e serviços fornecidos pela organização.

2. Termos e Condições:

2.1 O Usuário declara ter lido, compreendido e concordado com os termos e condições estabelecidos nos documentos pertinentes, que incluem, mas não se limitam a:

 Termos de Uso dos Sistemas;

 Políticas de Segurança da Informação;

 Contratos de Licença de Software, se aplicável.

3. Responsabilidades do Usuário:

3.1 O Usuário compromete-se a utilizar os sistemas, software e serviços da organização de acordo com as políticas internas, leis aplicáveis e ética profissional.

3.2 O Usuário reconhece que o não cumprimento dos termos e condições pode resultar em medidas disciplinares, incluindo rescisão de acesso.

4. Atualizações e Modificações:

4.1 A organização reserva-se o direito de realizar atualizações e modificações nos termos e condições, sendo responsabilidade do Usuário manter-se informado sobre eventuais alterações.

5. Consentimento para Monitoramento:

5.1 O Usuário consente que suas atividades relacionadas ao uso dos sistemas e serviços da organização podem ser monitoradas para garantir a segurança da informação e conformidade com as políticas internas.

6. Privacidade e Proteção de Dados:

6.1 O Usuário compreende e aceita as práticas de privacidade e proteção de dados da organização, conforme descritas nos documentos pertinentes.

7. Vigência:

7.1 Este Termo de Aceitação permanecerá em vigor durante todo o período em que o

Usuário tiver acesso e utilizar os sistemas, software e serviços da organização.

8. Disposições Finais:

8.1 Este Termo de Aceitação é regido pelas normas do ordenamento jurídico brasileiro, principalmente o direito de propriedade, conforme o art. 5ª, XXII da Constituição Federal determina.

8.2 Quaisquer controvérsias decorrentes deste acordo serão dirimidas no foro da comarca da sede da organização

Termo de Confidencialidade (Nda - Non-Disclosure Agreement)

Considerando que a organização se preocupa com a confidencialidade das informações sensíveis e estratégicas, adere a presente política para a adequação dosseus procedimentos, de modo que todos os seus colaboradores adotem as presentes medidas e atuem em conformidade.

1. Objeto

1.1. Este Termo de Confidencialidade tem como objetivo estabelecer as condições e obrigações relacionadas à confidencialidade de informações sensíveis e estratégicas da

Empresa.

2. Informações Confidenciais:

2.1. Consideram-se informações confidenciais todo e qualquer conhecimento, dado, informação, projeto, plano, estratégia, processo, técnica, método, pesquisa, desenvolvimento, software, inovação ou qualquer outra informação de natureza confidencial da organização, divulgada ao colaborador.

3. Obrigações do Colaborador:

3.1. O colaborador compromete-se a manter em absoluto sigilo e confidencialidade todas as informações confidenciais da organização a que tiver acesso, durante e após o término de seu vínculo empregatício.

3.2. O colaborador compromete-se a não divulgar, reproduzir, transmitir ou utilizar, direta ou indiretamente, as informações confidenciais para benefício próprio ou de terceiros, sem expressa autorização por escrito da organização.

3.3. A obrigação de confidencialidade abrange não apenas as informações diretamente relacionadas ao trabalho desenvolvido pelo colaborador, mas também aquelas de conhecimento geral no âmbito da orgainação.

4. Período de Vigência:

4.1. Este Termo de Confidencialidade tem início na data de assinatura e permanecerá em vigor durante todo o período de vínculo empregatício do colaborador com a Empresa e por um período subsequente de 5 (cinco) anos após o término do referido vínculo.

5. Devolução de Documentos e Materiais:

5.1. Ao término do vínculo empregatício, o colaborador compromete-se a devolver à organização todos os documentos, materiais ou qualquer meio em que estejam registradas ou armazenadas as informações confidenciais.

6. Disposições Gerais:

6.1. Opresente Termo de Confidencialidade é regido pelas normas da legislação brasileira, principalmente, pelos arts. 462, § 1º da Lei 5.452/1943, arts. 186, 187 e 927 da Lei 10.406/2002 e pela Lei 13.709/2018.

6.2. Quaisquer controvérsias decorrentes deste acordo serão dirimidas no foro da comarca da sede da organização.

6.3. Este Termo de Confidencialidade prevalece sobre quaisquer acordos anteriores, orais ou escritos, entre as partes, relacionados às informações confidenciais da organização

Termo de Consentimento para Monitoramento

Considerando que a organização se preocupa em garantir a conformidade com as políticas da informação, institui o presente termo de Consentimento para Monitoramento.

1. Objetivo:

1.1 Este Termo de Consentimento tem por objetivo esclarecer que as atividades dos colaboradores podem ser monitoradas pela organização para garantir a conformidade com as políticas de segurança da informação.

2. Monitoramento:

2.1 A organização reserva-se o direito de monitorar as atividades dos colaboradores, incluindo, mas não se limitando a:

 Uso da internet;

 Comunicações por e-mail corporativo;

 Acesso a sistemas e redes corporativas.

2.2 O monitoramento tem como finalidade principal assegurar a segurança da informação, proteger os ativos da organização e garantir a conformidade com as políticas internas.

3. Consentimento do Colaborador:

3.1 Ao assinar este termo, o colaborador reconhece e consente que suas atividades podem ser monitoradas pela organização.

3.2 O colaborador compreende que o monitoramento se destina a manter um ambiente seguro e proteger as informações confidenciais da organização.

3.3 O colaborador concorda em cumprir as políticas de segurança da informação da organização, as quais incluem as práticas de monitoramento mencionadas neste termo.

4. Limites e Propósito:

4.1 O monitoramento será realizado dentro dos limites estritamente necessários para alcançar os objetivos mencionados neste termo.

4.2 O monitoramento não será utilizado para finalidades distintas daquelas relacionadas à segurança da informação e conformidade com as políticas da Empresa.

5. Confidencialidade:

5.1 As informações obtidas por meio do monitoramento serão tratadas como confidenciais e utilizadas apenas para os propósitos mencionados neste termo.

5.2 O acesso às informações monitoradas será restrito à equipe designada pela organização, com a devida autorização.

6. Direitos do Colaborador:

6.1 O colaborador tem o direito de ser informado sobre o monitoramento de suas atividades e pode solicitar esclarecimentos adicionais à equipe de segurança da informação.

7. Disposições Finais:

7.1 Este Termo de Consentimento para Monitoramento é regido pelas normas do ordenamento jurídico brasileiro, principalmente o direito de propriedade, conforme o art. 5ª, XXII da Constituição Federal determina.

7.2 Quaisquer controvérsias decorrentes deste acordo serão dirimidas no foro da comarca da sede da organização.

Termo de Responsabilidade sobre Dispositivos e Acesso

Considerando que a organização se preocupa em assegurar a inviolabilidade de seus dispositivos e acessos, estabelece o presente termo em conformidade com os procedimentos adotados por ela.

1. Objeto:

1.1 Este Termo de Responsabilidade tem por objeto estabelecer as condições e obrigaçõesrelacionadas à responsabilidade do colaboradorsobre os dispositivosfornecidos pela organização e o acesso a sistemas corporativos.

2. Dispositivos Fornecidos pela Organização:

2.1 Todos os dispositivos que a organização fornecer aos colaboradores, será para uso exclusivo no desempenho de suas atividades profissionais.

2.2 O colaborador reconhece que ao receber quaisquer dispositivos se compromete a zelar por sua integridade.

3. Responsabilidade Do Colaborador:

3.1 O colaborador é integralmente responsável pela guarda, conservação e utilização adequada dos dispositivosfornecidos pela organização.

3.2 É proibido ao colaborador realizar modificações nos dispositivos sem autorização prévia da organização.

3.3 O colaborador compromete-se a notificar imediatamente a organização em caso de perda, furto, dano ou qualquer irregularidade relacionada aos dispositivosfornecidos.

4. Acesso a Sistemas Corporativos:

4.1 A Empresa concede ao colaborador acesso a sistemas corporativos necessários para o desempenho de suas atividades profissionais.

4.2 O colaborador reconhece que o acesso aos sistemas corporativos é estritamente pessoal e intransferível.

4.3 É vedado ao colaborador compartilhar suas credenciais de acesso ou permitir que terceiros utilizem seu acesso aos sistemas corporativos.

5. Devolução de Dispositivos e Encerramento de Acesso:

5.1 Ao término do vínculo empregatício, por qualquer motivo, o colaborador compromete-se a devolver imediatamente todos os dispositivosfornecidos pela organização.

5.2 O colaborador concorda que seu acesso aos sistemas corporativos será encerrado no momento do desligamento da organização.

6. Consequências do Descumprimento:

6.1 O descumprimento das obrigações estabelecidas neste termo poderá resultar em medidas disciplinares, incluindo rescisão de contrato e responsabilização por eventuais danos causados.

7. Disposições Gerais:

7.1 Este Termo de Responsabilidade é regido pelas leis federais e do estado sede da organização e quaisquer controvérsias decorrentes deste acordo serão dirimidas no foro da comarca da sede da organização.

7.2 Este termo prevalece sobre quaisquer acordos anteriores, orais ou escritos, entre as partes, relacionados à responsabilidade sobre dispositivos e acesso.

Contato

Se você tiver perguntas sobre esta política, entre em contato conosco através do e-mail contato@previattiadv.com.br.

ou através do nosso telefone/whatsapp: (11) 2891-4321