top of page

Política de Segurança da informação e Proteção de dados

INTRODUÇÃO

 

A VITI TECNOLOGIA LTDA, doravante (“VITI”) se preocupa com o Respeito a diversidade, a Ética e Transparência, Capacitação dos Colaboradores, Inovação, Eficiência e Profissionalismo. O objetivo deste documento é estabelecer as regras e orientações para a utilização dos recursos tecnológicos da “VITI”, seguindo as normativas da Lei Geral de Proteção de Dados Pessoais – LGPD (Lei nº 13.709/2018), visando a proteção dos dados pessoais de sua base de clientes, colaboradores e demais envolvidos. Esta política foi estabelecida para ser cumprida por todas as partes envolvidas nas atividades da “VITI”. Este documento, tem valor jurídico e sua aplicabilidade é imediata a abrange todos os colaboradores e parceiros que tenham acesso a dados pessoais da “VITI”.

 

CONCEITOS BÁSICOS

 

Para um melhor entendimento da política criada, a seguir, apresentamos as definições legais e seus conceitos que utilizamos neste documento;

 

a.            Dados: São informações que dão corpo ao conhecimento, porém, sozinho é incapaz de gerar conclusões ao que se refere o destinatário, mas podem ser computáveis.

b.            Dados pessoais: São todos os tipos de dados que podem levar a identificação de uma pessoa, de forma direta ou indireta. Alguns tipos de dados pessoais incluem (nome completo, RG e CPF, passaporte e carteira de habilitação, endereço, telefone, e-mail, endereço de IP, data de nascimento, localização via GPS, entre outros).

c.            Dados sensíveis: Qualquer informação que relacione com a origem racial, étnica, credo, opinião política, filiação a sindicato; que se referem à saúde ou vida sexual, dados genéticos e biométricos.

d.            Dados anonimizados: Operação que seja realizada com os dados pessoais de forma anônima, sem que haja identificação do indivíduo.

e.            Dados públicos: São dados que ainda públicos podem ser restringidos pelo indivíduo.

f.             ANPD – Autoridade Nacional de Proteção de Dados: Órgão da administração pública direta federal com atribuições relacionadas a regulamentação e fiscalização do cumprimento da LGPD

g.            Titular: Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.

h.            Controlador: Pessoa natural ou jurídica, a quem competem as decisões referentes ao tratamento de dados pessoais.

i.             Operador: Pessoa natural ou jurídica, que realiza o tratamento de dados pessoais em nome do controlador.

j.             Encarregado pelo tratamento de dados pessoais - DPO: O encarregado pelo tratamento de dados pessoais possui a função de atuar como canal de comunicação entre instituição, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

k. Tratamento de dados: Qualquer operação que seja realizada com os dados pessoais (incluindo: acesso, armazenamento, arquivamento, classificação, coleta, comunicação, controle, difusão, distribuição, eliminação, extração, modificação, processamento, produção, recepção, reprodução, transferência, transmissão e utilização.

l. Cliente: Pessoa natural ou jurídica que contrate os serviços da “VITI”, ou

que estejam em vias de contratar serviços.

m. Colaborador: Pessoa natural que faz parte do quadro de contratados e societário da “VITI”.

n. Parceiro/Prestador: Pessoa natural ou jurídica que presta serviços a “VITI” no âmbito das atividades.

o. Recursos tecnológicos: São todas as formas de uso da tecnologia, sejam elas físicas ou digitais, utilizadas nos processos de criação, armazenamento, manuseio, transporte, compartilhamento e descarte de informações.

p. Dispositivo móvel: Entende-se qualquer equipamento eletrônico com atribuições de mobilidade, como: notebooks, smartphones e tablets.

q. Incidentes de segurança da informação: Ocorrência identificada de um estado de sistema, dados, informações, serviço ou rede, que indica possível violação à esta política, a LGPD, falha de controles, ou situação previamente desconhecida, que possa ser relevante à segurança da informação.

r. LGPD – Lei Geral de Proteção de Dados Pessoais: Lei de nº 13.709/2018 que “dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural”.

s. Criptografia: é a conversão de dados de um formato legível em um formato codificado. Os dados criptografados só podem ser lidos ou processados depois de serem descriptografados.

 

SEGURANÇA DA INFORMAÇÃO

 

A seguir, estão definidas as notas, boas práticas e procedimentos de segurança da informação da “VITI”.

 

REGRAS DE SEGURANÇA DA INFORMAÇÃO

 

As informações que de alguma forma, foram manipuladas, dentro do exercício das funções pelos colaboradores e parceiros, são de uso exclusivo da “VITI”.

Todos os colaboradores/prestadores devem zelar pelas informações que são inseridas, alteradas, coletadas e ou compartilhadas, estejam livres de erros, transparentes e verídicas.

Todo e qualquer documento, que foram produzidos ou coletados pela “VITI”, não podem sair da empresa sem que pertençam a um processo já definido e analisado pela equipe responsável pela política de segurança, ou tenha uma autorização expressa pela mesma equipe.

A utilização das informações da “VITI”, incluindo e-mail, devem estar limitados à jornada de trabalho, ou conforme descrito em seu contrato de trabalho. Exceto em casos de atividades justificadas ou jornadas com plantões específicos e com horário controlados. 

Sempre que necessário a troca de informações, entre “VITI” e clientes, para cumprimento legal de obrigações, estes devem ser feitos através dos canais oficiais oferecidos pela “VITI”. Hoje nosso principal canal se dá através de e-mail corporativo, e em casos excepcionais, WhatsApp. Todo canal distinto ao descrito neste documento é considerado descumprimento das normas de segurança da informação e passarão pela análise da equipe de segurança da informação para que sejam tomadas as medidas cabíveis quanto ao fato.

 

CONCESSÃO, REVOGAÇÃO E REVISÃO

 

A concessão de acesso aos recursos tecnológicos da “VITI”, se darão ao perfil atribuído ao colaborador conforme sua atividade exercida dentro da empresa.

Todos os processos que envolvem dados pessoais serão revisados, no mínimo, a cada 12 meses, a fim de garantir sua continuidade e atualização.

A revogação de acessos deve ocorrer mediante solicitação dos encarregados de setor, através do e-mail ______________, com cópia para _____________________. Porém, esses direitos podem ser alterados ou revogados pela “VITI”, sem necessidade de aviso prévio.

Os acessos aos recursos tecnológicos serão revogados de imediato assim que ocorrer o fim das atividades entre a “VITI” e as partes envolvidas. Assim, para todo colaborador que for desligado, ou prestador que tiver seu contrato encerrado, a equipe responsável deverá tomar as providencias necessárias.

 

USO DOS RECURSOS DE TECNOLOGIA DA INFORMAÇÃO

 

O colaborador/prestador deve apenas fazer utilização de softwares e hardwares previamente homologados e autorizados pelo responsável de tecnologia da informação da “VITI”.

A gestão de todos os softwares e hardwares é de responsabilidade do responsável pela tecnologia da informação.

Ao se ausentar da sua estação de trabalho, o colaborador/prestador deve sempre efetuar o bloqueio do seu equipamento.

Todos os equipamentos disponibilizados pela “VITI”, devem ser utilizados para a atividade de interesse da organização, bem como cumprir com as normas definidas neste documento. Lembrando que estes equipamentos são de propriedade da “VITI”.

Todas as estações de trabalho possuem antivírus instalado e atualizados. Cada usuário, em caso de suspeita de alguma ameaça, deve reportar imediatamente ao responsável pela tecnologia.

Todos os documentos que sejam importantes para a atividade da empresa, devem estar salvos em unidade de rede. Deve-se evitar salvar estes arquivos em unidade locais (c:\), a fim de garantir que estes estejam em local onde haja uma política de backup, garantindo assim, sua recuperação em caso de desastres.

Em caso de identificação de dispositivos estranhos conectados em sua estação de trabalho, este deve ser reportado de imediatamente ao responsável pela tecnologia.

Não é permitido a alteração das configurações das estações de trabalho, principalmente no que se refere a segurança e geração de logs, sem o acompanhamento do responsável pela tecnologia da informação.

 

VEDAÇÕES

 

Referente a utilização dos recursos de tecnologia, o colaborador/Prestador não deve:

                                              

  1. Com exceção dos responsáveis pela tecnologia, realizar qualquer tipo de reparo ou manutenção nos equipamentos.

  2. Desativar ou utilizar de meios que burle o sistema de segurança aplicado ao equipamento.

  3. Utilizar de sites de redirecionamento (proxy) a fim de burlar as políticas de acesso a sites.

  4. Desinstalar ou desabilitar softwares previamente instalados, exceto quanto autorizado pelo responsável de tecnologia da informação.

  5. Utilizar de software de vigia ou interceptação de dados.

  6. Parar um software, serviço ou servidor de forma ilícita ou sem autorização prévia da equipe de tecnologia.

  7. Hospedar, acessar ou compartilhar qualquer tipo de pornografia, ou qualquer tipo de conteúdo que viole a legislação em vigor no país.

  8. Armazenar conteúdo pessoal, não pertinente ao negócio da “VITI” (fotos, vídeos, músicas etc.), seja nas estações de trabalho ou unidades de rede.

  9. Utilizar dispositivos de armazenamento removível (CDs, DVDs, pen drives, HDs externos), salvo em situações de indisponibilidade de rede e expressamente autorizado pela equipe de tecnologia.

  10. Acessar, armazenar, utilizar ou compartilhar conteúdo que represente quebre de sigilo da “VITI” ou de seus clientes.

  11. Acessar, armazenar, utilizar ou compartilhar qualquer conteúdo que remeta a cor, sexo, raça, incapacidade física ou mental, condição social, origem, religião.

 

GESTÃO DE INFORMAÇÕES

 

Toda informação confidencial, física ou digital, da “VITI” ou de seus clientes, deverá ser classificada, de forma a permitir a fácil identificação e seu tratamento de forma adequada, devendo ficar claro quem pode ter acesso a essa informação.

São consideradas informações confidenciais, todas as informações que precisam de uma atenção especial, contendo conteúdo estratégico, contábil, financeiro, dados pessoais e crítico que, se divulgados, poderia violar a privacidade de indivíduos, revelar segredos de negócios ou reduzir a vantagem competitiva da “VITI” e até causar impactados graves sob o aspecto financeiro, legal, normativo, de reputação e de imagem aos nossos clientes.

Cada colaborador/prestador deve, sempre que achar pertinente, contatar a equipe de segurança da informação em caso de identificação de algum dado que esteja ao seu acesso, e por algum motivo ainda não esteja classificado como tal.

O tratamento dos dados classificados como confidencial, deve atender os seguintes requisitos:

  1. Estar identificada como CONFIDENCIAL em todas as páginas.

  2. Ter identificação de quais áreas ou colaboradores podem ter acesso.

  3. Manter sigilo sobre o seu conteúdo a pessoas não autorizadas.

  4. Quando em meios digitais, estar armazenado em local seguro, com sistema de controle de acesso e de preferência utilizando-se de pastas com criptografia.

  5. Quando a eliminação, utilizar-se de meios que impossibilite a posterior recuperação de acesso a aquela informação.

 

Quanto a divulgação das informações da “VITI”, estas só serão permitidas quando:

 

  1. A divulgação é exigida por lei.

  2. A divulgação está dentro de um processo já definido e previamente autorizado pela “VITI”.

  3. Quando há o dever de divulgação para a continuidade do negócio ou há o direito profissional de divulgação, desde que não esteja proibido por lei e há autorização prévia da “VITI”.

 

Porém, ao ser decidido a divulgação, a “VITI” deve considerar:

 

  1. Se houve uma análise quanto aos interesses de terceiros, garantindo que estes não sejam prejudicados.

  2. Verificar se a forma de divulgação e seus meios de envio estão corretos, garantindo assim, que estas são as pessoas apropriadas a recebe-las.

 

Mesmo após o fim das relações entre colaborador e “VITI”, o sigilo profissional permanecerá. Ficando assim, proibido o uso ou compartilhamento de toda informação obtida, recebida ou gerada em decorrência da relação profissional.

Não será permitido o envio ou compartilhamento de informações da “VITI” ou de seus clientes, através de serviços de armazenamento em nuvem ou repositórios digitais (Google drive, OneDrive, Mega, etc.), comunicação instantânea (Messenger, Direct do Instagram, Skype, etc.), com exceção ao WhatsApp, que poderá ser utilizado por colaboradores e prestadores durante sua jornada de trabalho, sempre com autorização prévia da “VITI”.

 

GESTÃO DE IDENTIDADE

 

A identidade digital do colaborador será definida logo após sua contratação, composta por nome de usuário na rede, seguindo um mecanismo de autenticação sigiloso (senha).

O setor de tecnologia irá configurar seu primeiro acesso, definindo seu nome de usuário e uma senha temporária, que deverá ser trocada no primeiro acesso ao sistema.

Esta senha é de uso pessoal e intransferível, não devendo ser compartilhada a terceiros ou armazenada nas estações de trabalho ou dispositivos móveis.

As senhas devem conter no mínimo 12 caracteres, contendo letras maiúsculas, minúsculas, números e símbolos (#, %, &, etc.). Estas devem ser trocadas num período máximo de 42 dias, podendo se repetir as últimas 6 senhas.

Quando o sistema dispor de autenticação de dois fatores (MFA), estes devem ser configurados a fim de garantir maior segurança de acesso.

Sempre que houver suspeita de comprometimento desta senha, a mesma deverá ser trocada.

 

ACESSO À INTERNET

 

A “VITI” reserva-se no direito, sempre que achar necessário, monitorar e ou registrar qualquer informação acessada, recebida, transmitida ou gerada na internet, cujo meio de acesso se der através de recursos de tecnologia disponibilizados por ela, afim de garantir sua total conformidade com a LGPD.

Todos os colaboradores devem sempre se preocupar quanto ao uso da internet, verificando sempre se o site acessado é confiável, e seu conteúdo é relacionado a atividade da “VITI”.

Da mesma forma, todos devem se atentar a arquivos recebidos, redirecionamentos de telas, avisos de segurança dos navegadores, solicitação de cadastro em sites, promoções milagrosas e outras atividades suspeitas.

Não é permitido o acesso indevido a sistemas, bem como qualquer tentativa de burlar, obstruir, sobrecarregar ou monitorar, sistemas ou rede, ou até mesmo testar vulnerabilidades dentro do ambiente da “VITI”, salvo quando para fins de análises de risco e feito pela equipe de tecnologia e previamente autorizado pela “VITI”.

Todos os recursos tecnológicos fornecidos pela “VITI”, são de uso exclusivo para execução da atividade o colaborador, estando expressamente proibido seu uso para entretenimento.

Todo os arquivos, sites, e-mails recebidos ou enviados, acessados através dos recursos tecnológicos fornecidos pela “VITI”, que possuem acesso à internet ou à rede local, podem estar sujeitos a uma análise prévia por um sistema de segurança (Firewall, Antivírus, Filtro AntiSpam, etc.). Quando um desses sistemas identifique nesses dados, risco à segurança do sistema da empresa, estes serão bloqueados sem aviso prévio, afim de garantir o cumprimento de suas políticas.

 

CORREIO ELETRÔNICO

 

                O uso do e-mail da “VITI”, fica definido para uso restrito aos fins corporativos.

                O acesso ao e-mail pessoal dentro da companhia, só será permitido quando autorizado pela “VITI”.

                Todo colaborador deve, periodicamente, fazer uma limpeza da sua caixa de entrada, a fim de eliminar conteúdos que não sejam referentes ao trabalho ou que contenham links externos que possam vir a infectar a estação de trabalho, também deve-se atentar aos dados pessoais que não sejam mais necessários e estejam armazenados em e-mails antigos sem necessidade.

                 O colaborador deve sempre verificar com muita atenção quanto ao endereço do destinatário, garantindo que este é o destinatário correto, evitando assim um vazamento de informação. Porém, em casos de envio de dados pessoais a destinatários errados, deve-se informar o DPO da empresa, para que este inicie um processo de incidente, analisando assim qual ação deve ser tomada.

               

                Fica o colaborador vetado a:

  1. Enviar e-mails com número excessivo (acima de 5) de destinatários contendo dados pessoais, exceto quando autorizado pela “VITI”.

  2. Cadastrar o e-mail corporativo em sites que não esteja relacionado a sua atividade profissional prestada a “VITI”.

  3. Adulterar ou falsificar o cabeçalho do e-mail a fim de esconder remetentes, destinatários ou datas.

  4. Excluir mensagens eletrônicas necessárias à “VITI”, prejudicando assim a continuidade de seu negócio.

  5. Encaminhar ou abrir mensagens de SPAN ou PHISHING, estes devem ser excluídos permanentemente.

  6. Enviar e-mails utilizando-se de nome de outro colaborador.

  7. Divulgar informações não autorizadas da “VITI”.

  8. Utilizar-se do e-mail corporativo para obter privilégios junto a clientes.

 

DISPOSITIVOS MÓVEIS

 

                Os dispositivos móveis, quando disponibilizado a colaboradores, é de uso restrito, não sendo permitido o compartilhamento deste com terceiros. O compartilhamento entre colaboradores, poderá existir, durante uma substituição temporária do colaborador responsável pelo dispositivo, ou em casos de extrema necessidade comprovada, sempre com autorização prévia da “VITI”.

                Ao fim do contrato de trabalho ou prestação de serviço, este deve ser entregue em perfeitas condições de uso à “VITI”.

                Está vetado o uso deste dispositivo que não seja para fins profissionais relacionados a “VITI”.

                Todo colaborador deve portar o dispositivo junto a si ou guardado em local seguro, garantindo assim o uso indevido por terceiros.

                Em caso de perda ou extravio, informar diretamente a equipe de tecnologia para que estes tomem as medidas de segurança adequadas.

                Não é permitido a instalação de qualquer software, e o mesmo será entregue já com todas as ferramentas necessárias para a execução do trabalho.

                Está proibido a captura ou divulgação de informações sigilosas de clientes e parceiros através do dispositivo.

 

BACKUPS

 

                É de responsabilidade do setor de tecnologia gerenciar todos os procedimentos de backup internos e de clientes, observando as características de cada sistema, inclusive a criação de uma política de backup, contendo as regras, arquivos e softwares a serem guardados e intervalos de cada backup.

                O setor de tecnologia deve observar as seguintes diretrizes na hora de elaborar a política de backup:

 

  1. Garantir o armazenamento dos dados internos e de clientes em servidores previamente definidos pelo comitê de segurança da informação.

  2. A redundância do armazenamento.

  3. Fazer descarte de mídias de armazenamento de backup de forma a garantir a eliminação definitiva, de preferência a destruição total desta.

 

DISPOSITIVOS DE CLIENTES

               

                Ao ter acesso a dispositivos de clientes, todo colaborador deve:

  • garantir a integridade dos dados ali armazenados;

  • não compartilhar com terceiros os dados destes equipamentos;

  • ao finalizar a execução dos trabalhos e garantir que todo equipamento esteja em funcionamento, apagar backups gerados temporariamente;

 

DATACENTER VITI

               

                Todo colaborador que estiver autorizado a acessar as áreas de datacenter da VITI, deve:

  • estar devidamente identificado com seu crachá de identificação nas áreas internas do datacenter;

  • documentar via e-mail todo o trabalho a ser executado no local junto ao gestor de TI;

  • solicitar previamente via e-mail o acesso ao local físico junto ao gestor de TI;

 

 

MONITORAMENTO

 

                Todos os colaboradores devem estar cientes que a “VITI”, pode fazer o monitoramento de suas atividades através de recursos tecnológicos (logs), como também o monitoramento dos seus ambientes físicos através de captura de imagens, com a finalidade de garantir a segurança do seu patrimônio e quando necessário colaborar com as autoridades em caso de investigação.

               

IMPRESSÃO

 

                Deve-se dar preferência ao trafego de informações através do meio eletrônico (e-mail corporativo), a fim de buscar uma maior sustentabilidade ambiental.

                Ao imprimir documentos que contenham dados pessoais, todo colaborador deve garantir que este fique o menor tempo possível sobre a impressora, evitando assim que pessoas não envolvidas no processo tenham acesso indevido a informação.

               

MESA LIMPA

 

                A “VITI”, com o intuito de mitigar ao máximo os riscos provenientes de vazamento ou acesso indevido a dados pessoais, adota as seguintes ações:

               

  1. Manter a mesa organizada.

  2. Estando o colaborador na mesa, manter fora do alcance de outros quaisquer documentos que contenha dados de clientes e parceiros.

  3. Não utilizar de post-its colados na estação de trabalho que contenha senhas, dados de clientes ou parceiros.

  4. Ao fim da sua jornada de trabalho, deixar a mesa limpa, guardando em local seguro quaisquer documento que contenha dados estratégicos da “VITI” ou de clientes e parceiros.

 

PAPÉIS E RESPONSABILIDADES

 

A seguir estão definidos os papéis de responsabilidade de todos os envolvidos nesta política.

 

Diretores, sócios e gestores

               

  1. Analisar e aprovar todos os normativos da “VITI”.

  2. Acompanhar todos os controles estabelecidos, orientando e analisando as questões reportadas pelos colaboradores.

 

Gestores de TI

 

  1. Ajustar com as demais áreas, os requisitos e controles afim de garantir a proteção das informações.

  2. Fazer análises periódicas, afim de garantir o cumprimento desta política.

  3. Implementar todas as normas técnicas prevista nesta política.

  4. Manter softwares e hardwares atualizados, com patches de segurança e atualizações de firmware sempre que possível.

  5. Apresentar e adquirir recursos tecnológicos, observando as características e orçamento da “VITI”, afim de garantir um ambiente tecnológico atualizado e seguro.

  6. Proceder com a manutenção, configuração, análise dos equipamentos tecnológicos da “VITI”.

  7. Elaborar um plano de continuidade de negócios de tecnologia, contendo todas as medidas a serem adotadas em caso de desastre.

  8. Manter em funcionamento o sistema de backup, fazendo periodicamente teste de restauração afim de garantir sua integridade.

 

 

Colaboradores

 

  1. Cumprir e se manter atualizado com esta política de segurança.

 

Encarregado de dados – DPO

 

  1. Aceitar todas as solicitações, comunicações e reclamações dos titulares de dados, afim de prestar os devidos esclarecimentos e adotar todas as providencias necessárias.

  2. Acompanhar o canal de comunicação dpo@vititecnologia.com.br.

  3. Orientar colaboradores a respeito da proteção de dados.

  4. Receber e enviar comunicações à autoridade nacional de proteção de dados (ANPD), e tomar todas as providências cabíveis.

 

VIGÊNCIA

 

Esta Política entrará em vigor a partir da data de sua aprovação pelo Conselho de Administração e permanecerá em vigor por prazo indeterminado.

bottom of page