A empresa IMAM CONSULTORIA S/A entende que as informações corporativas são um bem essencial para as atividades, e, através deste documento, pretende definir a política que rege as operações relativas a estes dados.
Todas as informações aqui contidas se referem, doravante, à Empresa IMAM CONSULTORIA S/A; como organização.
Estabelecer os conceitos e diretrizes à segurança da informação, visando proteger as informações, regulamentar o armazenamento e descarte, mantendo tal política alinhada aos objetivos estratégicos da empresa, para garantir o controle para que a empresa não mantenha mais dados pessoais que o necessário para suas respectivas finalidades nem por tempo maior que o adequado pela legislação aplicável.
Esta política aplica-se a todos os colaboradores, estagiários, fornecedores, visitantes da empresa e terceiros prestadores de serviço, incluídas as gerencias de área, e a alta direção da empresa.
Qualquer indivíduo ou empresa que tenha tido, tenha atualmente, ou venha a ter acesso a qualquer dado ou ativo de informação, considerado de propriedade da organização, em qualquer tempo, em qualquer circunstância; e em qualquer localização geográfica, estará sujeito ao determinado no presente documento.
A segurança da informação é aqui caracterizada pela preservação dos seguintes conceitos:
• Confidencialidade: Garante que o acesso às informações seja efetuado somente pelas pessoas autorizadas, durante o período necessário;
• Integridade: Garante que a informação esteja integra e completa durante todo ciclo de vida;
• Disponibilidade: Garante que a informação esteja disponível para as pessoas autorizadas, sempre que se fizer necessária;
• Informação: Dados (eletrônicos ou físicos), ou registros de um sistema, devidamente processados;
• Dados pessoais: Dados específicos a um indivíduo, definidos através da LGPD;
• Tratamento de dados: Toda operação realizada com dados, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
• Titular de dados: Pessoa natural a quem se referem os dados pessoais que são objetos de tratamento;
• Sistemas da informação: Sistemas computacionais utilizados pela empresa para suportar suas operações;
• LGPD Lei Geral de Proteção de Dados: Lei 13.709/2018, promulgada em 14 de agosto de 2018, que define as normas e procedimentos para o tratamento de dados pessoais.
A estrutura normativa da segurança da informação da organização é composta pelos documentos relacionados a seguir:
• Políticas: Define a estrutura, diretrizes e os papeis referentes à segurança da informação;
• Normas e padrões: Estabelecem regras, definidas de acordo com as diretrizes da política, a serem seguidas em diversas situações em que a informação é tratada;
• Procedimentos e orientações: Instrumentam as regras dispostas nas normas, permitindo a direta aplicação nas atividades da organização.
Conformidade no tratamento de dados pessoais
Todos os documentos desta estrutura, que necessitem consentimento para o tratamento de dados pessoais (definidos na Lei No 13.709/2018 – LGPD) deverão incluir cláusula separada, em caráter inequívoco, que especifique dito tratamento, e que especifique o consentimento explícito do titular dos dados, de forma a dar cumprimento (conformidade), com a correspondente Lei Geral de Proteção de Dados.
Sendo necessário o cumprimento com a GDPR (General Data Protection Regulamentation), a mesma deve ser também especificada, tendo cláusula específica.
A seguir, são apresentadas as diretrizes da política de segurança da informação da organização. Estas diretrizes devem ser a base fundamental para a elaboração de todas as normas e procedimentos.
Aspectos Gerais
• As informações (em formato físico ou lógico); e os ambientes tecnológicos utilizados pelos usuários são de exclusiva propriedade da organização, não podendo sob nenhuma hipótese, ser interpretados como de uso pessoal;
• Excetuam-se desta propriedade, os dados pessoais compreendidos na Lei Geral de Proteção de Dados – LGPD;
• Todos os colaboradores, estagiários, terceiros prestadores de serviço e visitantes devem ter ciência de que o uso das informações e dos sistemas de informação pode ser monitorado; e que os registros assim obtidos poderão ser utilizados para detecção de violação da política e das normas de segurança da informação, podendo estas servir de evidências para aplicações de medidas disciplinares processos administrativos e legais;
• Todo processo, sempre que possível, durante o seu ciclo de vida, deve garantir a segregação de funções, por meio de mais de uma pessoa ou equipe.
Tratamento da Informação
• Para assegurar a proteção adequada às informações, deve existir um método de classificação da informação de acordo com o grau de confidencialidade e criticidade para o negócio da organização;
• As informações devem ser atribuídas a um proprietário, formalmente designado como responsável pela autorização de acesso as informações sob sua responsabilidade;
• Dados pessoais devem cumprir com todos os critérios da LGPD;
• Todas as informações devem estar adequadamente protegidas em observância às diretrizes de segurança da informação da organização em todo o seu ciclo de vida, que compreende: geração, manuseio, armazenamento, transporte e descarte;
• A informação deve ser utilizada de forma transparente e apenas para a finalidade para qual foi coletada ou gerada.
Controle de Inventário de dados pessoais
• Todos os colaboradores, diretores, parceiros, fornecedores e terceiros prestadores de serviços envolvidos nas operações de tratamento de dados pessoais são responsáveis pelo registro, controle de acesso, armazenamento, bloqueio e eliminação dos dados pessoais devendo providenciar sua atualização conforme haja alteração na atividade ou processo, de acordo com os procedimentos estabelecidos por estas normas e determinado em legislação aplicável.
• Caso a atividade ou processo envolva terceiros, o responsável pelo contrato deverá garantir que o compartilhamento com o terceiro e respectivo papel no ciclo de vida dos dados pessoais, seja de acordo com os procedimentos da empresa e determinado em legislação aplicável.
Armazenamento de dados pessoais
• Todos os documentos físicos e digitais e outras informações contendo dados pessoais serão armazenados sob controle da empresa;
• Cabe aos colaboradores responsáveis pelas atividades envolvendo tratamento de dados pessoais, elaborar tabelas de temporalidade registrando os prazos de salvaguarda específicos para informações e documentos contendo dados pessoais, levando em conta suas finalidades de tratamento, prazos prescricionais, prazos contratuais e prazos legais ou regulamentares de guarda obrigatória;
• Todos os dados pessoais armazenados para diferentes finalidades serão segregados física ou logicamente de modo que apenas as pessoas envolvidas em suas atividades de tratamento possam acessá-los;
• No caso de um dado pessoal necessário para mais de uma finalidade precisar ser excluído com relação a alguma das finalidades na forma desta Política, todo o tratamento do dado pessoal será bloqueado para a finalidade em questão, mas continuará a ser armazenado e utilizado nas demais finalidades que subsistirem.
Eliminação de dados pessoais
Dados pessoais, em quaisquer suportes, serão excluídos imediatamente nos casos em que os colaboradores responsáveis verificarem que não existe mais nenhuma finalidade de tratamento que justifique a sua manutenção em decorrência de:
• Exercício de direito do titular dos dados pessoais que obrigue a descartá-los;
• Revogação do consentimento do titular para tratamento dos dados pessoais;
• Instrução de terceiro controlador dos dados pessoais conforme regulado em contrato de compartilhamento de dados ou instrumento similar; ou
• Por determinação do Poder Judiciário ou das autoridades competentes.
Uma vez conhecida a possível necessidade de exclusão dos dados pessoais, deverão ser verificados:
• A salvaguarda parcial dos dados pessoais se forem necessários para cumprimento de deveres legais ou regulatórios, para contratos, por causa de algum prazo prescricional ou devido a algum processo administrativo ou judicial em curso;
• O descarte ou exclusão deve ser de forma segura e irrecuperável pelos colaboradores responsáveis pela atividade, por exemplo mediante trituração ou incineração de documentos e sobrescrito de mídias, observadas as normas da LGPD;
• Os dados pessoais eliminados em back-ups e sistemas legados; ou ter seu tratamento bloqueado caso sua eliminação não seja tecnicamente viável considerando os recursos e as tecnologia;
• Que os terceiros que possuam dados pessoais sob controle da IMAM procedam com o descarte seguro dos dados pessoais na forma dos respectivos contratos firmados;
• A anonimização de dados pessoais quando verificado a sua utilidade para alguma atividade ou processo.
Gestão de acessos e identidades
• O acesso a informações e aos ambientes tecnológicos da organização deve ser controlado de acordo com a sua classificação, de forma a garantir acesso apenas às pessoas autorizadas, mediante aprovação formal;
• Os acessos aos funcionários, estagiários, visitantes e prestadores de serviço devem ser solicitados; e aprovadas somente as informações necessárias ao desempenho de suas atividades.
Partes Externas
• Os contratos entre a organização e empresas fornecedoras e/ou prestadoras de serviços com acesso às informações, aos sistemas e/ou ao ambiente tecnológico da organização devem conter cláusulas que garantam a confidencialidade entre as partes e que assegurem minimamente que os profissionais sob sua responsabilidade cumpram a política e as normas de segurança da informação. Também devem cumprir rigorosamente com a LGPD.
Todos os colaboradores, estagiários, visitantes, fornecedores e terceiros prestadores de serviço, devem:
• Ler, compreender, e cumprir fielmente a política, as normas e procedimentos de segurança da informação da organização, como também, quaisquer outras leis ou normas de segurança aplicáveis;
• Garantir o tratamento, armazenamento e descarte dos dados pessoais seja realizado dentro do previsto na LGPD;
• Proteger as informações contra acessos, modificação, destruição ou divulgação não autorizados pela organização;
• Assegurar que os recursos tecnológicos, as informações e sistemas à sua disposição sejam utilizados apenas para finalidades aprovadas pela organização;
• Cumprir as normas que regulamentam a propriedade intelectual;
• Não discutir assuntos de trabalho em ambientes públicos ou áreas expostas (aviões, transporte, restaurantes, encontros sociais, etc), incluindo a emissão de comentários e opiniões em blogs, páginas e redes sociais;
• Não compartilhar informações confidenciais de qualquer tipo;
• Comunicar imediatamente a área de gestão de segurança da informação qualquer descumprimento oi violação desta política e/ou de suas normas e procedimentos, ou qualquer evento que coloque ou possa colocar em risco a segurança das informações da organização.
Definição
A não conformidade está definida na presente política como a violação, omissão, tentativa não consumada, ou ausência de cumprimento com quaisquer das definições, diretrizes, normas, procedimentos e conceitos definidos nesta política, voluntária ou involuntariamente, por parte de um colaborador, estagiário, visitante, fornecedor ou prestador de serviço.
Determinação
Qualquer colaborador, estagiário, visitante, fornecedor ou prestador de serviços pode denunciar uma suspeita de não conformidade com a política de segurança da informação.
A referida denúncia deve ser efetuada verbalmente, ou (preferivelmente) por escrito, podendo ser anônima, para o gestor da área, que a sua vez, deve encaminhar a denúncia ao setor responsável, para a devida verificação.
O formato da denúncia escrita deve estar definido nas normas e procedimentos da segurança da informação.
Dispositivos e procedimentos de monitoramento e verificação de segurança da informação também podem indicar possíveis violações ou não cumprimentos. As formas de comunicações através destes dispositivos ou procedimentos devem estar definidas nas normas e procedimentos da segurança da informação.
A determinação final sobre a procedência da suspeita, ou veracidade das informações relativas à segurança a informação cabe somente ao setor responsável pela verificação.
O presente documento, e a totalidade dos responsáveis citados no mesmo, devem considerar que a tecnologia e as ameaças à Segurança da informação se intensificam e se atualizam todos os dias.
Portanto, não se constituem rol enumerativo, sendo obrigação do usuário da organização adotar, sempre que possível, outras medidas de segurança além das aqui previstas, com o objetivo de garantir a proteção às informações da empresa.
A presente Política será disponibilizada através do site do Grupo IMAM para todos os colaboradores e terceiros prestadores de serviços da IMAM CONSULTORIA S/A e sempre será atualizada e monitorada para acompanhar as mudanças ocorridas na legislação e para garantir sua aplicabilidade.
Não haverá exceções para o devido cumprimento da Política, sendo ela de adesão obrigatória. Todos devem respeitar, zelar e promover os valores e disposições estabelecidos neste documento.