1 APRESENTAÇÃO
A Política de Segurança da Informação (PSI) é o documento que declara o comprometimento da Pontual Assessoria Empresarial com a proteção dos dados e informações tratados em sua operação, expondo as diretrizes que orientam o processo de tratamento, assim como os processos e medidas de segurança adotados no intuito de proteger a privacidade dos titulares de dados.
2 OBJETIVO
A presente PSI tem como objetivo geral a definição das diretrizes que orientam o tratamento de dados pessoais promovido pela PONTUAL ASSESSORIA EMPRESARIAL, permitindo aos colaboradores e clientes conhecerem os procedimentos relacionados à segurança da informação e adotarem o comportamento necessário à sua garantia.
Especificamente, objetiva-se, ainda:
-
- Garantir a proteção dos dados pessoais tratados em sua operação, inclusive nos meios digitais;
- Preservar a integridade dos dados e informações, evitando seu comprometimento, a partir de alterações, supressões ou adições indevidas;
- Garantir a confidencialidade e o sigilo dos dados fornecidos por clientes e colaboradores;
- Garantir a privacidade dos titulares dos dados tratados;
- Garantir e viabilizar o exercício dos direitos dos titulares de dados;
- Estabelecer os limites de atuação no tratamento de dados, evitando a violação aos direitos dos titulares.
3 APLICAÇÃO
O presente documento possui valor jurídico e estabelece diretrizes que devem serimediata e indistintamente seguidas por todos os colaboradores, prestadores de serviços ou terceiros parceiros, se aplicando aos dados e informações tratados pela PONTUAL ASSESSORIA EMPRESARIAL através de qualquer meio, físico ou virtual.
Documento elaborado em parceria com o Sebrae/PB, em programa de consultoria empresarial conduzido por Marcelly de Santana Batista, OAB/PB 27.360
4 PRINCÍPIOS
a. Proteção: proteger e preservar os dados tratados pela PONTUAL ASSESSORIA EMPRESARIAL, em qualquer formato, dos diversos tipos de riscos ou ameaças,durante todo o ciclo de vida do tratamento;
b. Finalidade: observar a finalidade para qual os dados foram coletados em todo o processo de tratamento, não permitindo a utilização dos mesmo para fins diversos;
c. Adequação: o tratamento de dados feito pela PONTUAL ASSESSORIA EMPRESARIAL utiliza processos adequados aos serviços ofertados e aos objetos do negócio;
d. Necessidade: somente serão coletados os dados necessários ao regular desempenho das atividades da empresa;
e. Livre acesso: os titulares podem consultar seus dados em tratamento ou exigir o exercício de quaisquer dos direitos a eles inerentes, por meio de formulário de solicitação facilitado, disponível no sítio eletrônico do PONTUAL ASSESSORIA EMPRESARIAL ou do envio de e-mail ao endereço: “lgpd@pontual.cnt.br"
f. Qualidade: são adotadas medidas de atualização periódicas, sendo permitido e encorajado que os titulares informem a alteração de seus dados e informações sempre que necessário;
g. Transparência: os titulares são cientificados do tratamento de dados promovido pelo PONTUAL ASSESSORIA EMPRESARIAL, sendo qualquer alteração promovida no processo imediatamente informada;
h. Segurança: são adotados procedimentos que garantam a proteção dos dados pessoais em casos de acessos não autorizados e reduzem o risco de ocorrência de incidentes de segurança, extravio de dados ou ataques ilícitos;
i. Prevenção: são adotadas medidas que reduzem o risco de dano aos titulares de dados pela ocorrência de eventuais incidentes de segurança;
j. Não discriminação: não são permitidas práticas ou condutas discriminatórias, prezando-se pelo sigilo dos dados sensíveis tratados;
k. Responsabilização: a violação aos processos básicos de segurança estabelecidos neste documento ou determinados pela PONTUAL ASSESSORIA EMPRESARIAL, por meio de orientações internas ou treinamentos, assim como a adoção de postura dolosaou culposa que cause risco ou dano efetivo no tratamento de dados configura falta disciplinar e é punível, conforme a gravidade, de acordo com a Consolidação das Leis do Trabalho.
5 DIRETRIZES
a. Interpretação: esta PSI deve ser interpretada de forma restritiva, devendo o procedimento em casos omissos ser expressamente determinado ou autorizado pelo Comitê de Segurança da Informação;
b. Publicidade: esta PSI deve ser divulgada aos colaboradores, prestadores de serviço, terceiros relacionados, clientes e ao público em geral, com objetivo de efetivar o princípio da transparência, cientificando a todos que, direta ou indiretamente, são impactados pelas diretrizes estabelecidas;
c. Propriedade: os dados e informações tratados são de titularidade das pessoas físicas ou jurídicas que referenciam, porém, encontrando-se na tutela da PONTUAL ASSESSORIA EMPRESARIAL, devem ser empregadas exclusivamente nas atividades institucionais;
d. Sigilo: a PONTUAL ASSESSORIA EMPRESARIAL se compromete a preservar o sigilo e a confidencialidade dos dados fornecidos pelos titulares, devendo todo colaborador assinar termo de sigilo específico que formaliza o comprometimento individual com a proteção à privacidade dos dados. Este termo passa a compor o contrato individual de trabalho firmado entre a PONTUAL ASSESSORIA EMPRESARIAL e o colaborador,representando sua violação falta disciplinar, passível de responsabilização nas diversas esferas;
e. Uso de dispositivos e recursos tecnológicos: o uso de dispositivos e recursos tecnológicos de propriedade da PONTUAL ASSESSORIA EMPRESARIAL deve ser feito apenas para fins profissionais, de modo lícito, probo, responsável e ético, em conformidade com as atribuições funcionais de cada cargo. Dispositivos Particulares: O uso de dispositivos particulares na execução de qualquer atividade profissional, na interação com os ambientes físicos ou lógicos não poderão ocorrer por meio da rede cabeada e Wi-Fi de transmissão de dados, exceto quando autorizado;
f. Uso e exposição de imagem pessoal: o uso e a exposição de imagem pessoal dos colaboradores, clientes ou terceiros será previamente autorizada mediante a assinatura de termo próprio, passível de revogação;
g. Áudio, Vídeos e Fotos: É vedada qualquer atividade relacionada à captura de dados e seu compartilhamento de gravação de áudio, vídeo ou foto de informações confidenciais ou restritas relacionadas ao trabalho ou obtidas dentro das dependências da PONTUAL ASSESSORIA EMPRESARIAL, sem a prévia e formal autorização para tanto;
h. Inspeção dos recursos tecnológicos: sempre que necessário, serão auditados ou inspecionados ou recursos de tecnologia que compõe o patrimônio corporativo do PONTUAL ASSESSORIA EMPRESARIAL, a fim de atender aos princípios da segurança e prevenção;
i. Conformidade: anualmente ou quando mudanças legais ou procedimentais significativas ocorrerem, deve ser revisada/atualizada esta PSI, garantindo-se o atendimento aos requisitos de segurança legais vigentes;
j. Uso de e-mail: é vedado o uso de e-mail pessoal no processo de tratamento de dados,que deve se restringir ao uso do e-mail corporativo fornecido no ato da contratação;
k. Uso da internet: serão mantidas regras de utilização e bloqueio de acesso a sites inseguros ou impróprios, assim como caixas de e-mail, conteúdos, anexos, emitentes, destinatários, assinaturas, etc .assim os considerados, não sendo permitida a utilização dos meios de comunicação do Pontual Assessoria Empresarial para divulgar mensagens com conteúdo ilegal, pornográfico, com qualquer sentido discriminatório,de cunho religioso, político-partidário, ideológico ou em desacordo com os princípios éticos e morais;
l. Uso de antivírus: todo dispositivo deve possuir antivírus (software) instalado e atualizado automaticamente, sendo responsabilidade do colaborador comunicar à Direção da empresa comportamentos associados a malwares e vírus em suas estações de trabalho.
m. Uso de driver externo: o uso de dispositivos do tipo “mídia removível” (pen drives, discos externos e smartphones) é expressamente proibido e as exceções devem ser autorizadas formalmente;
n. Armazenamento de dados: dados e informações relacionadas ao tratamento de dados realizado pelo Pontual Assessoria Empresarial não devem ser armazenadas nos dispositivos e equipamentos móveis, tais como notebook, pen-drive, smartphones e tablets, mas sim em diretórios de rede e em nuvem para que o processo de cópia desegurança seja assegurado, sendo responsabilidade do colaborador a realização correta do armazenamento;
o. Acesso a computadores, redes e sistemas aplicativos: o acesso a computadores, softwares e redes deve ser protegido por senha, que poderão/deverão ser atualizadas periodicamente pelo usuário, sendo vedada a exibição de senha em tela ou anotação em meio físico ou digital inseguro. As senhas devem ser individuais e intransferíveis, de uso exclusivo, sendo o compartilhamento proibido em quaisquer circunstâncias;
p. O uso dos equipamentos da Pontual Assessoria Empresarial deverá ser restrito à execução das atividades profissionais, sendo de responsabilidade do usuário/colaborador assegurar a integridade do equipamento e a confidencialidade das informações nele contida, sendo vedada a alteração das configurações do dispositivo, assim como a remoção ou o download de qualquer programa ou software não autorizados;
q. Revogação de acesso: na rescisão do contrato de trabalho ou de vínculo trabalhista ou de prestação de serviço, deverão ser imediatamente revogado os acessos fornecidos para softwares e dispositivos utilizados na operação da Pontual Assessoria Empresarial, devendo o desligamento ser informado pela Diretoria ou pelo setor de RH imediatamente;
r. Manutenção do sigilo das informações nas estações de trabalho: documentos, anotações, papeis ou qualquer tipo de material que contenha dado pessoal devem ser armazenados nos locais próprios (arquivo, armários ou gaveteiros com chave), sendo proibido sua alocação sobre mesas ou estações de trabalho, quando não estiverem em uso, assim como a colagem em papeis, monitores ou quadros de aviso;
s. Uso de rascunhos: é proibida a utilização, como rascunho, de papeis que contenham dados pessoais, devendo tais documentos serem totalmente destruídos antes de descartados, de preferência com o uso de máquinas desfragmentadoras;
t. Capacitação: serão ofertados cursos, oficinas ou palestras ao quadro pessoal da PONTUAL ASSESSORIA EMPRESARIAL, com objetivo de conscientizar o colaborador sobre a importância da observância dos procedimentos de segurança da informação e direcionar sobre boas práticas no tratamento de dados pessoais;
u. Comunicação de Incidentes: eventuais casos de incidentes de segurança da informação devem ser imediatamente comunicados pelo colaborador que tiver conhecimento, por meio de e-mail direcionado ao endereço: “lgpd@pontual.cnt.br", devendo o Comitê de Segurança da Informação avaliar a gravidade do incidente, o potencial lesivo e informar, sendo o caso, à Autoridade Nacional de Proteção de Dados – ANPD, por meio do formulário eletrônico contido no sítio da referida agência reguladora;
6 RESPONSABILIDADES
a. Dos colaboradores em geral: todo aquele que possuir vínculo empregatício ou que prestar serviço por intermédio de pessoa jurídica ou não, exercendo atividade relacionada a PONTUAL ASSESSORIA EMPRESARIAL possui a responsabilidade de seguir os processos de segurança definidos pela empresa e as diretrizes nesta PSI expostas, sendo responsáveis pelo descumprimento;
b. Dos diretores e líderes: adotar postura exemplar em relação à segurança da informação, servindo como modelo de conduta para os demais colaboradores e parceiros, além de acompanhar, a partir das informações apresentadas pela gerência, o atendimento aos padrões de segurança no tratamento de dados ocorrentes na organização e comunicar à Autoridade Nacional de Proteção de Dados (ANPD) a ocorrência de incidente de segurança capaz de causar danos aos titulares;
c. Da gerência: os gerentes e líderes de setor serão responsáveis pela cientificação, no ato da contratação, das responsabilidades inerentes à segurança da informação e pela apresentação desta Política de Segurança da Informação, da Política de Privacidade e da coleta das assinaturas do termo de sigilo e confidencialidade, assim como do termo de consentimento do tratamento de dados e autorização do uso de imagem. É ainda atribuição da gerência monitorar o atendimento aos processos definidos para tratamento de dados, prezando pela segurança das informações, instaurar, quando couber, procedimento disciplinar para apuração de responsabilidades dos envolvidos em violações de segurança da informação, assim como por comunicar à Diretoria, que comunicará à Autoridade Nacional de Proteção de Dados (ANPD) a ocorrência de incidente de segurança capaz de causar danos aos titulares.
7 DISPOSIÇÕES FINAIS
a. Canais de comunicação oficiais (redes sociais, e-mail corporativo, telefones corporativos etc): devem ser utilizados apenas para fins institucionais, sendo vedada a não identificação do remetente no ato de comunicação, o envio de mensagens não solicitadas para múltiplos destinatários, com objetivo comercial, a utilização de dispositivo ou canal de comunicação de outro colaborador sem a devida autorização, divulgar informações ou imagens de tela, sistemas, documentos e afins sem autorização expressa e formal, apagar mensagens ou informações pertinentes a tais canais, sobretudo com objetivo de evitar responsabilizações, produzir transmitir ou enviar mensagens que ofereça qualquer ameaça à segurança dos dados tratados pela PONTUAL ASSESSORIA EMPRESARIAL ou à privacidade dos titulares;
b. Intranet: a rede interna é monitorada, sendo registrado o acesso dos usuários, sendo vedada a alteração dos parâmetros de segurança, sem a devida autorização, assim como a utilização da rede ou dos dispositivos da PONTUAL ASSESSORIA EMPRESARIAL para a prática de qualquer ato ilícito ou que venha a expor à risco de segurança os dados e informações em tratamento, sendo igualmente vedado o acesso à sítios eletrônicos não seguros ou o download de software não autorizados;
c. Identificação e senhas: os recursos de identificação e senha protegem a identidade do usuário e permite o registro do acesso aos dados em tratamento, sendo vedada a utilização de identificação alheia, o compartilhamento de senhas individuais. O colaborador é responsável pela atualização periódica, a cada 06 meses, de suas senhas individuais, sendo vedada a reutilização de senhas ou a utilização de senhas frágeis, numéricas ou alfabéticas sequenciais, a exemplo “123456” ou “abcdef”, não devendo ser anotadas ou armazenadas em arquivos eletrônicos (Agendas, Post-its, Word, Bloco de notas, e-mail etc.), compreensíveis por linguagem humana (não criptografados); não devem ser baseadas em informações pessoais, como próprio nome, nome de familiares, data de nascimento, endereço, placa de veículo, nome da empresa, nome do departamento etc. Recomenda-se a utilização de senhas com, no mínimo 08 caracteres, que combinem números, letras e caracteres especiais.
d. Backup: os backups devem ser periódicos e automatizados por sistema de agendamento, devendo as nuvens de armazenamento ou os sistemas de backup serem periodicamente atualizados;
e. Dos casos omissos: os casos e eventual procedimento diverso do previsto nesta Política de Segurança da Informação e Comunicação serão submetidos à análise do Comitê de Segurança da Informação;
f. Dúvidas e solicitações: qualquer dúvida relativa a esta PSI ou qualquer solicitação relacionada às suas disposições devem ser encaminhadas ao endereço de e-mail “lgpd@pontual.cnt.br" ou protocolada no campo “Solicitações LGPD” constante no sítio eletrônico “https://www.pontual.cnt.br/lgpd” ou por meio de solicitação própria no canal de atendimento por mensagens instantâneas (WhatsApp), número: 83 3142-0722.
Este documento passa a vigorar na data de sua aprovação.
João Pessoa/PB, 17 de agosto de 2023.