imagem

TUDOCONSULTA

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO, CIBERNÉTICA E PROTEÇÃO DE DADOS (LGPD)

 

 

 

FEVEREIRO DE 2024

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO, SEGURANÇA CIBERNÉTICA E PROTEÇÃO DE DADOS (LGPD)

 

 

1. Introdução

 

A Política de Segurança da Informação, Segurança Cibernética e Proteção de Dados (“Política”) da TUDOCONSULTA, aplica-se a todos os administradores, colaboradores, empregados, funcionários e estagiários (“Integrantes”) da TUDOCONSULTA, inclusive sistemas, prestadores de serviços ou por terceiros que utilizem o ambiente de processamento da TUDOCONSULTA, ou que acesse informações a ela pertencentes. Todo e qualquer usuário de recursos computadorizados da TUDOCONSULTA tem a responsabilidade de proteger a segurança e a integridade das informações e dos equipamentos de informática da TUDOCONSULTA.

 

2. Objetivo

 

Esta Política tem por objetivo contribuir para o aprimoramento da segurança, tanto informacional quanto cibernética da TUDOCONSULTA, com a proteção dos Dados Pessoais (conforme definido abaixo) a que tem acesso, estabelecendo medidas a serem tomadas para identificar e prevenir contingências que possam causar prejuízo para a consecução de suas atividades.

 

Sendo assim, nenhuma Informação Confidencial (conforme definido abaixo) deve, em qualquer hipótese, ser divulgada a pessoas, dentro ou fora da TUDOCONSULTA, que não necessitem de, ou não devam ter acesso a tais informações para desempenho de suas atividades profissionais.

 

Qualquer informação sobre a TUDOCONSULTA, ou de qualquer natureza relativa às atividades da empresa e seus Integrantes, obtida em decorrência do desempenho das atividades profissionais, só poderá ser fornecida ao público, mídia ou a demais órgãos caso autorizado pela administração da TUDOCONSULTA.

 

3. Definições/Conceitos

 

Para um melhor entendimento, as seguintes expressões, quando empregadas neste instrumento, terão os seguintes significados:

 

Ataque cibernético: é a exploração por parte de um agente malicioso para tirar proveito de ponto(s) fraco(s) com a intenção de alcançar um impacto negativo no alvo. Os atacantes podem ter como alvo os clientes, fornecedores, parceiros, negócios e sistemas da TUDOCONSULTA.

 

Ativos tecnológicos: é qualquer dispositivo físico ou digital, equipamento ou outro componente do ambiente que suporte atividades relacionadas à informação.

 

Consentimento: manifestação livre, informada e inequívoca pela qual o Titular concorda com o Tratamento de seus Dados Pessoais para uma finalidade determinada.

 

Controlador: a pessoa jurídica, de direito público ou privado, a quem compete as decisões referentes ao Tratamento de Dados Pessoais, neste caso, a TUDOCONSULTA.

 

Dado Pessoal: informação relacionada a pessoa natural identificada ou identificável, como, por exemplo, um nome, um número de identificação, dados de localização, identificadores por via eletrônica ou a um ou mais elementos específicos da identidade física.

 

Dado Pessoal Sensível: Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à orientação sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

 

Incidente de segurança cibernética: todo e qualquer evento não esperado que gere algum tipo de instabilidade, quebra de política ou que possa causar danos à TUDOCONSULTA.

 

Informações Confidenciais: todo tipo de informação escrita ou verbal relativas às atividades da TUDOCONSULTA e a seus sócios ou clientes, incluindo seu know-how, técnicas, relatórios, diagramas, apresentações, modelos, programas de computador, informações técnicas, planos de ação, contrapartes comerciais, fornecedores e prestadores de serviço, além das informações estratégicas, de mercado ou informações de qualquer natureza referentes às atividades da TUDOCONSULTA e seus sócios, informações pessoais dos clientes, incluindo informações sobre outras empresas aos quais possa ter acesso, que não tenham sido divulgadas ao público em geral.

 

LGPD: Lei Geral de Proteção de Dados Pessoais, Lei n.º 13.709/2018, conforme alterada.

 

Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o Tratamento de Dados Pessoais em nome do Controlador.

 

Titular: pessoa natural a quem se referem os Dados Pessoais que são objeto de Tratamento.

 

Tratamento: toda operação realizada com Dados Pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

 

4. Segurança Cibernética

 

Segurança cibernética é a capacidade de identificar, prevenir, proteger, detectar, responder e recuperar rapidamente de uma ameaça cibernética, a fim de proteger a confidencialidade, integridade e disponibilidade dos Ativos tecnológicos e informações.

 

4.1 Responsabilidades.

 

O Diretor de Proteção de Dados (“DPO”) será responsável por estabelecer, por meio da definição de políticas, padrões, procedimentos e controles, a integridade, disponibilidade e confidencialidade das informações contidas nos ambientes da TUDOCONSULTA, minimizando possíveis impactos e vulnerabilidades e, reduzindo a ocorrência de incidentes de segurança cibernética que afetem os negócios da TUDOCONSULTA.

 

4.2 Ações

 

(i) Identificação de Riscos:

 

As ameaças cibernéticas podem variar de acordo com a natureza, vulnerabilidade, informações ou Ativos tecnológicos. As consequências para a TUDOCONSULTA podem ser significativas em termos operacionais, de risco de imagem, danos financeiros ou perda de vantagem concorrencial, podendo tais danos serem irreparáveis.

 

Para tanto, é necessário o conhecimento pelos Integrantes dos métodos mais comuns de Ataques cibernéticos, conforme listados abaixo:

Acesso pessoal - pessoas localizadas em lugares públicos como bares, cafés e restaurantes que captam qualquer tipo de informação que possa ser utilizada posteriormente para um ataque.

 

Ataques de DDoS (distributed denial of services) e botnets - ataques visando negar ou atrasar o acesso aos serviços ou sistemas da instituição; no caso dos botnets, o ataque vem de um grande número de computadores infectados utilizados para criar e mandar spam ou vírus, ou inundar uma rede com mensagens resultando na negação de serviços.

 

Cavalo de Troia: aparece dentro de outro software e cria uma porta para a invasão do computador.

 

Engenharia Social – métodos de manipulação para obter informações confidenciais, como senhas, dados pessoais e número de cartão de crédito.

 

Invasões (advanced persistent threats) - ataques realizados por invasores sofisticados, utilizando conhecimentos e ferramentas para detectar e explorar fragilidades específicas em um ambiente tecnológico.

 

Malware – softwares desenvolvidos para corromper computadores e redes.

 

Pharming: direciona o usuário para um site fraudulento, sem o seu conhecimento.

 

Phishing: links transmitidos por e-mails, simulando ser uma pessoa ou empresa confiável que envia comunicação eletrônica oficial para obter informações confidenciais.

 

Ransomware: software malicioso que bloqueia o acesso a sistemas e bases de dados, solicitando um resgate para que o acesso seja reestabelecido.

 

Smishing: simula ser uma pessoa ou empresa confiável e, por meio de mensagens de texto, tenta obter informações confidenciais.

 

Spyware: software malicioso para coletar e monitorar o uso de informações.

 

Vírus: software que causa danos a máquina, rede, softwares e banco de dados; e

 

Vishing: simula ser uma pessoa ou empresa confiável e, por meio de ligações telefônicas, tenta obter informações confidenciais.

 

(ii) Ações de Prevenção e Proteção

 

Serão adotadas, por todos os Integrantes da TUDOCONSULTA, as seguintes ações de prevenção e proteção à Ataques cibernéticos:

 

Credencial e Verificação em Duas Etapas. Sistemas que possuem informações de clientes, possuem credenciais de acesso individuais que permitem identificação de acesso, além de possuírem segundo fator de autenticação (segunda camada de proteção em caso de comprometimento da senha do usuário) e segregação de acesso.

 

Senhas Fortes. É obrigatória a utilização de senhas fortes, sendo adotado um gerenciador de senhas por meio do qual é possível a gestão das senhas de cada usuário (expiração, controle de login, de modificações de senha, etc.).

 

Responsabilidade dos Integrantes. Os Integrantes que tiverem acesso aos sistemas de informação serão responsáveis por tomar as precauções necessárias, de forma a impedir o acesso não autorizado.

 

Instalação de Softwares. Os Integrantes não são autorizados a instalar software em suas estações de trabalho, exceto se tal software tenha sido previamente verificado pelo Departamento de Tecnologia da Informação (“TI”) e previamente autorizado pelo DPO.

 

Memórias Externas. Não é permitido que os Integrantes utilizem, conectem ou salvem Dados Pessoais e quaisquer tipos de dados vinculados à TUDOCONSULTA, por meio de memórias externas nas estações de trabalho.

 

Informações e Pessoas Externas. A troca de informações entre Integrantes e pessoas externas à TUDOCONSULTA deve, e deverá, sempre pautar-se nesta Política, sendo certo que, caso aconteça o não-cumprimento desta Política, o Integrante deverá informar, sendo passível de responsabilização.

 

Troca de Senhas e Credenciais. Os Integrantes da TUDOCONSULTA deverão trocar frequente as credenciais de acesso de todos os sistemas utilizados, sendo certo que esta troca ocorrerá trimestralmente.

 

Redundância de Conexão. Dada a importância de conexão à internet para realização das atividades diárias, temos redundância do link de conexão. Para fins de clareza, a redundância de conexão se trata de mecanismo capaz de se conectar a outra rede segura quando não for mais possível acessar a rede de internet utilizada pela TUDOCONSULTA, a fim de manter os serviços ativos.

 

Armazenamento em Nuvem Segura. Em caso de impedimento de acesso ao escritório, os sistemas principais - que armazenam informações sobre os clientes - são armazenados em nuvem e podem ser acessados remotamente a partir do site de contingência controlado. Os arquivos armazenados em nuvem são objeto de backup diário e podem ser acessados em caso de indisponibilidade.

 

Proteção de Antivírus. Todas as estações de trabalho estão protegidas por antivírus, constantemente atualizado, que fornece proteção contra vulnerabilidades conhecidas e alerta imediato em caso de eventos de ameaça cibernética.

 

Firewall. A TUDOCONSULTA também mantém um sistema de proteção de borda (firewall).

 

Acesso Restrito de Websites. A TUDOCONSULTA restringe o acesso, de seus Integrantes, a determinados websites que possam comprometer a segurança das informações, tais como determinadas redes sociais, sistemas de armazenamento em nuvem vinculados a contas privadas dos Integrantes, bem como tipos específicos de websites notoriamente perigosos.

 

(iii) Plano de Resposta a Incidentes de Segurança Cibernética

 

Serão adotados por todos os Integrantes da TUDOCONSULTA, conforme orientação do DPO, as seguintes ações de resposta a Incidentes de segurança cibernética:

 

Em caso de identificação de acesso não permitido, devemos eliminar acesso externo aos sistemas da TUDOCONSULTA, identificar a extensão das informações comprometidas e notificar as pessoas e empresas que possam ser afetadas.

 

Em caso de total indisponibilidade de serviços ou de acesso ao escritório, todos os Integrantes têm acesso aos sistemas da TUDOCONSULTA em seus home offices, podendo atuar de forma plena todas as suas funções.

 

Em caso de falha dos hardwares e softwares específicos de segurança, a conexão dos sistemas da empresa com a internet deve ser interrompida, o equipamento deve ser reposto e testado, e só então a conexão deve ser restabelecida. Caso esse processo não possa ser realizado em tempo hábil, divergimos todos os Integrantes em seus home offices.

 

4.3 Violação de Segurança Cibernética

 

As violações de segurança devem ser informadas ao DPO e TI de forma imediata. Toda violação, desvio às diretrizes ou não cumprimento de algum ponto desta Política e de outras derivadas da mesma, é investigada para determinação das medidas necessárias, estando os Integrantes sujeitos a ações disciplinares e eventualmente trabalhistas e, aos prestadores de serviços e parceiros de negócios, sujeitos a rescisão de contratos e penas de responsabilidade civil e criminal na máxima extensão que a lei permitir.

 

5. Segurança da Informação

 

A política de segurança da informação tem por finalidade proteger a confidencialidade, disponibilidade e integridade das informações que gerenciamos, seja Informações sobre nossos clientes, parceiros e funcionários. Isso inclui a garantia de que a confidencialidade, integridade e disponibilidade dessas Informações serão protegidas, monitoradas e atendidas em caso de acordo.

 

5.1 Responsabilidades

 

O DPO será responsável por estabelecer, por meio da definição de políticas, padrões, procedimentos e controles, a integridade, disponibilidade e confidencialidade das Informações Confidenciais contidas nos ambientes da TUDOCONSULTA, minimizando possíveis impactos e vulnerabilidades e, reduzindo a ocorrência de vazamento de Informações Confidenciais.

 

5.2 Ações de Prevenção e Proteção

 

A TUDOCONSULTA adota política de proteção e segregação das Informações Confidenciais e equipamentos da seguinte forma:

 

Restrição de Acesso. A TUDOCONSULTA restringe o acesso a toda Informação Confidencial para aqueles Integrantes que necessitem ter acesso a essas informações para prestar serviços à TUDOCONSULTA;

 

Mínimo Acesso à Informação. O TUDOCONSULTA determinará quais Integrantes terão acesso aos arquivos que contêm Informações Confidenciais, de seus sócios, carteiras e clientes, e assegurará o bom uso das instalações, equipamentos e informações comuns;

 

Assinatura de Termos de Confidencialidade. Todos os Integrantes e prestadores de serviços que tiverem acesso às Informações Confidenciais deverão assinar termo de confidencialidade, exceto se seu contrato de prestação de serviços contiver cláusula de confidencialidade;

 

Revisão das Permissões do Integrante. Em caso de modificação de funções do Integrante dentro da TUDOCONSULTA, o DPO deverá revisar as permissões concedidas ao Integrante;

 

Desligamento do Integrante. Na ocasião de um eventual desligamento de qualquer Integrante, visando a proteção imediata dos Dados Pessoais e Informações Confidenciais, implicará na instantânea suspensão de seus acessos aos sistemas e arquivos eletrônicos e físicos vinculados à TUDOCONSULTA;

 

Segurança da Armazenagem de Informações. Todos os arquivos eletrônicos contendo informações pessoais e confidenciais serão armazenados de uma forma que garanta sua segurança contra meios de invasão eletrônica e Integrantes sem acesso; e

 

Circulação em Ambientes Externos. Salvo em caso de desenvolvimento e execução dos negócios da TUDOCONSULTA, é vedada aos Integrantes a circulação em ambientes externos à TUDOCONSULTA e aos respectivos home offices, em posse de cópias físicas, eletrônicas ou impressões de Informações Confidenciais, conforme o caso.

 

5.3 Obrigações

 

O Integrante autorizado compromete-se a utilizar as Informações Confidenciais a que venha a ter acesso estrita e exclusivamente para desempenho de suas atividades na TUDOCONSULTA, obrigando-se, portanto, a não divulgar tais Informações Confidenciais para quaisquer fins, aos integrantes não autorizados, à mídia ou a pessoas estranhas à TUDOCONSULTA.

 

O Integrante se obriga a, por prazo indeterminado após sua rescisão, manter absoluto sigilo pessoal e profissional das Informações Confidenciais a que teve acesso durante o seu período na TUDOCONSULTA, comprometendo-se, ainda, a não utilizar, praticar ou divulgar informações privilegiadas, seja atuando em benefício próprio, da TUDOCONSULTA ou de terceiros.

 

Apenas Integrantes autorizados terão acesso à Informação Confidencial, sendo que a divulgação interna, e/ou ao público, mídia e outros órgãos apenas ocorrerá mediante prévia autorização fundamentada do DPO.

 

5.4 Violações de Segurança da Informação

 

Em caso de vazamento, mesmo que acidental, de Informações Confidenciais, o Integrante que causar ou tiver ciência do vazamento deverá informar imediatamente o DPO, que deverá adotar procedimentos de verificação da falha ou descumprimento que causou o vazamento.

 

O Integrante que revelar qualquer Informação Confidencial poderá ser demitido por justa causa, ou ser destituído do cargo, e/ou excluído do quadro de sócios, de acordo com a função exercida, sendo obrigado a indenizar a TUDOCONSULTA e/ou terceiros por eventuais prejuízos incorridos, independente das medidas legais cabíveis.

 

6. Proteção de Dados Pessoais

 

Esta política de proteção de Dados Pessoais expressa o compromisso da TUDOCONSULTA com a proteção dos Dados Pessoais a que tem acesso. Nela são apresentadas as diretrizes e os procedimentos observados pela empresa para que o tratamento desses dados seja realizado em conformidade com a LGPD.

 

6.1 Responsabilidades

 

O DPO será responsável por estabelecer, por meio da definição de políticas, padrões, procedimentos e controles, a integridade, disponibilidade e confidencialidade e dos Dados Pessoais obtidos pela TUDOCONSULTA no âmbito da sua atuação, minimizando possíveis impactos e vulnerabilidades e, reduzindo a ocorrência de vazamento de Dados Pessoais.

 

6.2 Dados Pessoais Coletados pela TUDOCONSULTA

 

A TUDOCONSULTA poderá coletar e ter conhecimento de Dados Pessoais dos Titulares, da seguinte forma:

E-mail de recebimento da busca na Plataforma. A TUDOCONSULTA recebe o Dado Pessoal (e-mail) de seus clientes para viabilizar a prestação do serviço.

 

Exclusão dos dados. Após o período de uso e controle, os Dados Pessoais serão imediatamente excluídos.

 

6.3 Os Fins para os quais a TUDOCONSULTA Utiliza esses Dados Pessoais

 

Prestar serviços de alta qualidade, oferecendo-os de modo eficiente e, sempre que possível, personalizado; desenvolver produtos que atendam aos interesses de seus clientes; aperfeiçoar seus métodos de trabalho, serviços e produtos; e para divulgá-los aos seus clientes e potenciais interessados;

 

Cumprir exigências legais e regulatórias, bem como para atender a eventuais solicitações de autoridades públicas;

 

Atender aos requisitos dos fornecedores dos Dados Pessoais disponíveis na rede mundial de computadores, que são fornecidos, mediante próprio de pesquisa, aos clientes; e

 

Comunicar-se com os Titulares de Dados Pessoais, informando-os sobre seus produtos e serviços, e para atender as solicitações e responder as perguntas que estes venham a encaminhar.

 

6.4 Segurança dos Dados Pessoais

 

A TUDOCONSULTA adota medidas administrativas, técnicas e tecnológicas que visam reduzir significativamente os riscos de dano e perda, bem como de acesso e uso não autorizados dos Dados Pessoais em seu poder.

Em conformidade com os princípios da LGPD e com as boas práticas de segurança da informação e de proteção de Dados Pessoais, a TUDOCONSULTA garante que os Dados Pessoais são por ela tratados de forma íntegra e segura, de acordo com padrões de segurança da informação, confidencialidade e integridade.

 

A TUDOCONSULTA permanece com os Dados Pessoais somente pelo período estabelecido nos termos da legislação aplicável, sendo retidos, apenas nas hipóteses legais e, somente pelo período em que forem necessários para o alcance de finalidades lícitas, específicas e informadas, bem como para proteção do exercício regular dos direitos, prestação de contas ou requisição de autoridades competentes.

 

6.5 Direitos dos Titulares Garantidos por Lei

 

De acordo com a LGPD, os Titulares têm direito a solicitar, em relação aos Dados Pessoais tratados, a qualquer momento e mediante requisição o que segue:

 

Confirmação da existência de Tratamento: o Titular poderá solicitar a confirmação se a TUDOCONSULTA realiza qualquer tipo de Tratamento de seus Dados Pessoais.

 

Acesso aos dados: o Titular poderá obter uma declaração clara e completa, indicando a origem dos dados, a existência de registro, os critérios utilizados e a finalidade do Tratamento empregado pela TUDOCONSULTA.

 

Correção de dados incompletos, inexatos ou desatualizados: o Titular poderá realizar essa requisição caso identifique a necessidade de correção ou atualização de seus Dados Pessoais.

 

Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto da LGPD: o Titular poderá requerer qualquer uma destas tratativas, caso identifique o Tratamento de Dados Pessoais de modo desnecessário, excessivo ou em desconformidade com a Lei.

 

Direito a portabilidade de dados: em razão da ausência de regulamentação pela Autoridade Nacional, a TUDOCONSULTA aguarda a regulamentação por parte da ANPD para proporcionar a todos os Titulares o pleno exercício deste direito conforme os preceitos legais.

 

Eliminação dos Dados Pessoais tratados com o Consentimento do Titular: a qualquer momento, o Titular pode solicitar a eliminação de seus Dados Pessoais tratados com base na hipótese legal de seu Consentimento, bem como pode pedir para que a plataforma TUDOCONSULTA exclua a possibilidade de outros clientes encontrarem seus Dados Pessoais.

 

Informação das entidades públicas e privadas com as quais a TUDOCONSULTA realizou uso compartilhado de dados: caso o Titular queira saber especificamente sobre o uso compartilhado de seus Dados Pessoais, ele poderá ter acesso a essas informações por meio desta requisição.