Política de Privacidade e Segurança da Informação da NEWMED
A informação é um dos principais ativos da atividade empresarial contemporânea. Para o sucesso da empresa, o fluxo da informação deve ser acompanhado e gerenciado com rigorosos critérios de sigilo e qualidade.
A facilitação e popularização de mecanismos de acessos tem gerado cada vez mais riscos e trazido ameaças constantes ao patrimônio informacional das empresas.
Desenvolver e aplicar uma Política de Segurança e de Privacidade da Informação passa a ser fundamental não só para afastar os riscos, mas também como alicerce e garantia da perenidade do negócio.
A Segurança da Informação atua na promoção da disponibilidade, confidencialidade e integridade das informações necessárias para a realização dos negócios da NEWMED.
Sumário
| 1. ÂMBITO DE INCIDÊNCIA | 2 |
|---|---|
| 2. CONCEITOS IMPORTANTES | 2 |
| 2.1 Confidencialidade | 2 |
| 2 2.3. Disponibilidade | 2 |
| 2 2.4. Violação | 2 |
| 2 2.5. Incidente de Segurança | 2 |
| 3 2.6. Princípio do Privilégio Mínimo | 2 |
| 3 2.6. Princípio do Privilégio Mínimo | 2 |
| 3 2.7. Lei Geral de Proteção de Dados – LGPD | 2 |
| 3. DIRETRIZES E CRITÉRIOS | 4 |
| 3.1 Disposições Gerais | 4 |
| 3.2. Tratamento e Classificação da Informação | 4 |
| 3.3. Gestão de Acessos | 5 |
| 3.4. Gestão de Incidentes | 5 |
| 3.5. Relacionamento com Fornecedores de Produtos e Serviços e Parceiros | 6 |
| 3.6. Sanções e Desconformidades | 6 |
| 4 DAS RESPONSABILIDADES | 7 |
| 4.1 Colaboradores e Prestadores de Produtos e Serviços | 7 |
| 4.2. Área de Segurança da Informação | 7 |
1. ÂMBITO DE INCIDÊNCIA
A presente Política de Segurança e de Privacidade da Informação constitui norma que deve ser observada e respeitada por todos os colaboradores, prestadores de serviços, terceiros, fornecedores, parceiros comerciais e quaisquer outros profissionais que atuem para a NEWMED e que tenham acesso às informações de propriedade da empresa e a dados pessoais por ela tratados.
2. CONCEITOS
2.1. Confidencialidade
A confidencialidade assegura que a informação somente seja acessada por pessoas, setores, processos e dispositivos autorizados. Essa limitação é aplicável às informações negociais, gerenciais e de dados pessoais armazenados e em processamento na NEWMED.
2.2. Integridade
As informações, notadamente aquelas relativas a dados pessoais, são coletadas e mantidas completas e íntegras, de modo que não sofram modificação ou destruição não autorizada, acidental ou proposital, durante o ciclo de processamento.
2.3. Disponibilidade
As informações pertencentes à empresa estarão disponíveis apenas para as pessoas autorizadas, sempre que for necessário o acesso a fim de garantir a eficiência e eficácia das atividades de gestão. Informações sobre dados pessoais e dados pessoais sensíveis estão disponíveis aos seus titulares ou representantes legais, que podem acessá-las mediante requerimento apresentado ao Encarregado de Dados da NEWMED nos meios disponibilizados no seu site.
2.4. Violação
Será considerada violação ao sistema de proteção da privacidade e da segurança da informação o descumprimento de qualquer previsão contida neste documento e demais normais internas. Os colaboradores e prestadores de serviços devem tratar dados pessoais e dados pessoais sensíveis seguindo as orientações contidas na legislação nacional e no Manual para Tratamento de Dados Pessoais que é disponibilizado a todos os colaboradores e prestadores de serviços da NEWMED, e que são estudados em treinamentos internos. São alguns exemplos de violações que podem ocasionar a aplicação de sanções pelo Poder Público e pela empresa aos seus colaboradores ou parceiros de negócios:
- Uso ilegal de softwares – inclusive é proibido usar softwares piratas.
- Introdução, intencional ou não, de vírus de informática;
- Tentativas de acesso não autorizado a dados e sistemas;
- Compartilhamento de informações sensíveis do negócio;
- Divulgação de informações de clientes e das operações contratadas.
2.5. Incidente de segurança
Incidente de segurança é qualquer fato que colocar em risco a confidencialidade, integridade ou disponibilidade do sistema de informação ou da informação que o sistema processa, armazena ou transmite. A violação ou o risco iminente de violação das Políticas de Privacidade e de Segurança da Informação são considerados incidentes.
2.6. Princípio do privilégio mínimo
Para garantia da eficiência da Política de Segurança da Informação é fundamental conceder apenas as permissões mínimas necessárias para que o usuário possa realizar seu trabalho. Este conceito pode ser aplicado a pessoas, programas ou processos.
2.7. Lei Geral de Proteção de Dados – LGPD
A obrigatoriedade de proteção de dados pessoais tem previsão na Lei Geral de Proteção de Dados Pessoais [Lei 13.709 de 14/08/2018], no Código de Defesa do Consumidor, na Constituição da República, no Marco Civil da Internet, no Código Civil e na legislação penal.
3. DIRETRIZES E CRITÉRIOS
3.1. Disposições Gerais
A NEWMED é proprietária do seu capital de informações contidas em seu ambiente físico ou digital, observando que os dados pessoais e dados pessoais sensíveis sobre os quais realiza tratamentos no exercício de sua atividade comercial pertencem aos seus titulares ou representantes legais.
Os dados, informações e sistemas de informação são monitorados pela empresa e os registros obtidos no monitoramento poderão ser utilizados para detecção de violações desta Política e das Normas de Segurança da Informação. Tais violações poderão ser utilizadas como evidência para a aplicação de medidas disciplinares, processos administrativos e/ou judiciais
3.2. Tratamento e classificação dos dados
Para garantir a proteção adequada, os dados e informações são classificadas de acordo com o grau de confidencialidade e criticidade para o negócio da NEWMED.
As informações são adequadamente protegidas com recursos técnicos e de gestão de acordo com as diretrizes de Segurança da Informação, em todo o seu ciclo de vida: geração/captação, manuseio, armazenamento, transporte e descarte, ou qualquer outro meio de tratamento.
As informações sem classificação explícitas são consideradas como de “Uso Interno”.
As informações são utilizadas de forma transparente e para as finalidades exclusivas para as quais foram coletadas.
Em conformidade com a Lei Geral de Proteção de Dados – LGPD -, dados pessoais e dados pessoais sensíveis requerem tratamento especial durante sua coleta, armazenamento, transmissão, compartilhamento, arquivamento e eliminação. Por isso, os tratamentos destes dados seguem esta Política de Segurança da Informação e o Manual de Tratamento de Dados Pessoais, documentos que compõem a gestão da NEWMED.
3.3. Gestão de Acessos
O acesso aos sistemas e dados da NEWMED é restrito a usuários autorizados. O responsável pela autorização ou confirmação da autorização é previamente definido conforme as funções que realiza na empresa, tendo recebido treinamento sobre o sistema de gestão para privacidade dos dados. Todos os usuários utilizam credenciais de acesso a sistemas, dados e demais recursos tecnológicos da empresa por meio de login e senha cadastrados pelo departamento responsável, quando aprovada a necessidade de acesso e disponibilizado ao usuário o treinamento para a proteção da privacidade. Os sistemas possuem logs de eventos, contendo, no mínimo, identificação do autor, a data da ocorrência e as ações realizadas. Os acessos dos colaboradores, prestadores de serviços e quaisquer outros usuários são fornecidos somente com as permissões mínimas necessárias à realização de suas atividades, conforme o princípio do privilégio mínimo. Os gestores são responsáveis pelas definições dos direitos de acesso dos seus colaboradores aos sistemas e dados da empresa. Cabe também aos gestores a análise da compatibilidade do acesso com as funções do usuário, solicitando alterações, se for o caso. As credenciais de acessos e respectivas permissões aos sistemas e dados corporativos terão ordem de revogação imediata após o término do vínculo empregatício. Adicionalmente, revisões periódicas são realizadas pela área de Segurança da Informação visando minimizar a exposição de acessos indevidos.
3.4. Gestão de Incidentes
O Encarregado de Dados, com o apoio da área de Segurança da Informação, é responsáveis pela investigação de incidentes de segurança para identificação de suas causas e soluções, seguindo o Plano de Respostas a Incidentes elaborado pela NEWMED.
Na gestão de incidentes, o Encarregado de Dados e o responsável pela Segurança da Informação têm acesso irrestrito aos sistemas, dados e recursos tecnológicos adotados pela empresa durante a investigação de incidentes, podendo requisitar a colaboração de outras áreas para auxiliar na investigação.
Havendo comprometimento e/ou vazamento de dados pessoais ou dados pessoais sensíveis, o colaborador que identificar o fato e/ou a área de Segurança da Informação informarão imediatamente o Encarregado pela Proteção de Dados Pessoais, que deverá acompanhar todos os procedimentos previstos no Plano de Respostas a Incidentes, de acordo com a LGPD e as normas internas.
O Encarregado de Dados é responsável pela comunicação do incidente à Alta Direção, deliberando em conjunto sobre eventuais violações às normas de segurança interna como causa do incidente.
O Encarregado de Dados também é responsável, nos termos da LGPD, pela comunicação do incidente aos titulares dos dados eventualmente afetados, bem como à ANPD, seguindo o modelo padrão de comunicação.
Eventual divulgação ao público em geral sobre incidentes de segurança deverá ser autorizada pela Alta Direção da NEWMED.
3.5. Relação com fornecedores produtos ou serviços e parceiros de negócios
As relações contratuais entre a NEWMED e empresas fornecedoras de produtos ou serviços e com parceiros de negócios que tenham acesso às informações, aos sistemas e/ou qualquer outra tecnologia da NEWMED contêm cláusulas para assegurar a confidencialidade entre as partes, de modo a garantir minimamente que os colaboradores ou profissionais sob suas responsabilidades cumpram fielmente a presente Política e as Normas de Segurança da Informação a ela vinculadas.
Como complemento, todos os fornecedores e prestadores de serviços que tiverem acesso a dados pessoais estarão sujeitos aos preceitos da LGPD e das regras de Segurança da Informação criadas na gestão da NEWMED.
3.6. Sanções por desconformidades
O Gerente de Segurança da Informação da NEWMED é responsável pelo controle e acompanhamento de casos de não conformidade com a presente Política.
O descumprimento de qualquer preceito deste documento de gestão resulta em falta grave e poderá gerar as seguintes ações: advertência formal, advertência escrita, suspensão do trabalho, rescisão do contrato de trabalho, procedimentos disciplinares e/ou processo civil ou criminal.
As sanções mencionadas serão aplicadas considerando a gravidade e o âmbito de incidência da infração.
4. DAS RESPONSABILIDADES
4.1. Colaboradores e Prestadores de Serviços e Produtos
É exigência de atuação profissional o respeito e fiel cumprimento das Políticas, normas e procedimentos de Segurança da Informação da NEWMED, o que envolve cuidar e proteger as informações contra acessos indevidos, modificação, destruição ou divulgação não autorizados.
Cumpre à NEWMED garantir que os recursos tecnológicos, as informações, dados e sistemas sejam utilizados apenas para as finalidades aprovadas pela Alta Direção.
4.2. Segurança da Informação
É de responsabilidade da área de Segurança da Informação a elaboração de projetos e iniciativas direcionados ao aperfeiçoamento da segurança da informação.
Realizar o gerenciamento e periodicamente as avaliações de segurança, como testes de vulnerabilidade, testes de penetração e avaliações gerais de risco.
Desenvolver ações educativas internas para manutenção da cultura de respeito às normas de Segurança da Informação e privacidade de dados pessoais.
Acompanhar, com o Encarregado de Dados, os procedimentos de investigação em caso de incidentes de segurança e de violações desta política, bem como registrar, tratar e responder aos referidos incidentes.
| Versão | Data | Elaboração |
|---|---|---|
| 01 | Março/2021 | Consultoria Especializada – Revisão pelo Encarregado de Dados |