Política de SI para Fornecedores
A Política de Segurança da Informação e Privacidade para fornecedores possui diretrizes básicas que garantem:
1. Objetivo
Estabelecer as diretrizes do tratamento de dados pessoais realizado pelo Grupo AlmavivA do Brasil como um agente Controlador de dados. Desse modo, o Grupo AlmavivA do Brasil, quando no papel de agente Operador de dados, reitera às partes interessadas visadas pelo tratamento de dados pessoais (“Titulares”) que os dados relacionados à pessoa natural identificada ou identificável (“dados pessoais”) tratados em função de suas parcerias comerciais, serão processados em conformidade com a legislação em vigor em matéria, de proteção de dados pessoais, e conforme as devidas orientações de seu cliente (“Controlador”), o qual possuirá maiores informações a respeito do referido tratamento em sua política de privacidade.
2. Campo de aplicação
Esta política se aplica a todos os colaboradores, terceiros, fornecedores que utilizem o ambiente de processamento ou acessem informações pertencentes ao Grupo AlmavivA do Brasil.
3. Referências
▪ Lei Federal nº 13.709/2018 – LGPD (Lei Geral de Proteção de Dados Pessoais)
▪ Lei Federal nº 12.965 - Marco Civil da Internet
▪ NBR ISO/IEC 27001:2022 – Segurança da informação, segurança cibernética e proteção à privacidade — Sistemas de gestão da segurança da informação — Requisitos
▪ NBR ISO/IEC 27002:2022 – Segurança da informação, segurança cibernética e proteção à privacidade — Controles de segurança da informação
▪ NBR ISO/IEC 27701:2019 – Técnicas de segurança – Extensão da ABNT NBR ISO/IEC 27002 para gestão da privacidade da informação – Requisitos e diretrizes
▪ PSI-002 – Política de Segurança da Informação Pública.
4. Definições
▪ Controlador – pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais
▪ Dado pessoal – informação relacionada à pessoa física identificada ou identificável, como por exemplo: nome, número do RG, CPF, data de nascimento, foto, telefone, geolocalização, entre outros
▪ Dado pessoal sensível – categoria de dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação à sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural
▪ Encarregado (DPO) – pessoa indicada pelo Controlador/Operador para atuar como canal de comunicação entre o Controlador, os titulares e a Autoridade Nacional de Proteção de Dados (ANPD)
▪ Incidente de segurança de dados pessoais – qualquer evento adverso confirmado, relacionado a incidente de segurança de dados pessoais, tais como acesso não autorizado, acidental ou ilícito que resulte na destruição, perda, alteração, vazamento ou ainda, qualquer forma de tratamento de dados inadequada ou ilícita, os quais possam ocasionar risco para os direitos e liberdades dos titulares
▪ Operador – pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados de acordo com as instruções do Controlador
▪ Titular – pessoa física a quem se referem os dados pessoais que são objeto do tratamento
▪ Tratamento – toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, manuseio, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração
▪ Medidas técnicas – aquelas relacionadas a tecnologias e controles que podem ser implementados em relação à segurança da informação e melhorias para uma execução assertiva e eficiente dos princípios da Lei Geral de Proteção de Dados
▪ Medidas organizacionais – medidas relacionadas a políticas, procedimentos, guias, manuais, atividades de conscientização (como treinamentos e comunicados) e documentos, no geral, que orientem o usuário quanto às diretrizes de Privacidade e Proteção de Dados Pessoais.
5. Responsabilidades
Compete a Diretoria Executiva:
▪ Promover e aprovar as atividades do Sistema de Gestão de Segurança da Informação e Privacidade.
Compete ao Comitê de Segurança da Informação e Privacidade:
▪ Conduzir uma avaliação periódica sobre a Proteção e Privacidade de dados
▪ Garantir a disponibilidade dos recursos necessários para uma efetiva gestão de privacidade e proteção de dados pessoais
▪ Disseminar a cultura de Segurança de Informação e Privacidade
▪ Alinhar os objetivos estratégicos de Segurança da Informação e Privacidade com os objetivos de negócio do Grupo AlmavivA do Brasil
▪ Apoiar e aprovar atividades de melhoria contínua do Sistema de Gestão da Segurança da Informação e Privacidade
▪ Deliberar sobre aplicação de sanções quando for observado o descumprimento desta política e demais políticas estabelecidas pela área de Segurança da Informação e Privacidade.
Compete ao Encarregado de Dados Pessoais (DPO):
▪ Promover e aprovar as atividades do Programa de Privacidade
▪ Prezar e resguardar os interesses de todos os titulares de dados com quem o Grupo AlmavivA se relacione
▪ Receber as comunicações e atualizações da ANPD para repassá-las internamente, bem como manter o relacionamento entre as partes.
Compete à área de Segurança da Informação e Privacidade:
▪ Estabelecer as diretrizes de segurança da informação e privacidade
▪ Conscientizar as partes interessadas pertinentes sobre a segurança da informação e privacidade
▪ Identificar e reportar os riscos referentes à Segurança da Informação e Privacidade
▪ Estabelecer controles para mitigação dos riscos
▪ Manter e melhorar continuamente o sistema de gestão de segurança da informação.
Compete aos Colaboradores, Terceiros, Fornecedores e demais partes interessadas pertinentes:
▪ Cumprir as orientações desta política e demais políticas estabelecidas pela área de Segurança da Informação e Privacidade
▪ Zelar pela segurança das informações das empresas, informando quaisquer anormalidades percebidas a área de Segurança da Informação e Privacidade.
Ao utilizar os bens e as instalações do Grupo AlmavivA os cuidados necessários para a conservação do patrimônio devem ser adotados. É dever de todos zelar pela proteção dos ativos e ter hábitos que evitam os desperdícios de forma geral
▪ Na identificação de riscos, incidentes e não conformidades, ações corretivas e preventivas devem ser adotadas, de modo a eliminar a causa raiz e prover o tratamento adequado dos riscos associados
▪ Quando necessário, auditorias, inspeções e avaliações podem ser realizadas pelo Grupo AlmavivA para garantir que todos os requisitos para a segurança da informação estão sendo atendidos. Os resultados das inspeções e avaliações, bem como recomendações de melhorias serão registradas e encaminhadas para providências pelo fornecedor
▪ Os prestadores de serviços devem respeitar e cumprir todas as medidas, procedimentos e instruções para o registro e controle de acessos físicos e lógicos estabelecidos pelo Grupo AlmavivA do Brasil
▪ Sempre que necessário, os prestadores de serviços fornecerão ao Grupo AlmavivA do Brasil uma lista de pessoas, sua descrição de perfil, funções e responsabilidades associados ao serviço prestado, comunicando todas as eventuais alterações realizadas referentes à relação com a Companhia (admissão, demissão, substituição ou alteração de funções ou cargos)
▪ Os prestadores de serviços deverão garantir que todos os seus colaboradores possuam a instrução adequada e estejam devidamente capacitados para executar o serviço prestado, seja especificamente em relação aos campos que correspondam às atuações associadas com a prestação de serviço ou com referência à segurança da informação e a privacidade
▪ Assegurar que os ativos de informação sejam utilizados apenas para as finalidades aprovadas pelo Grupo AlmavivA do Brasil, estando sujeitos à monitoração, rastreabilidade e auditoria
▪ O fornecedor somente poderá subcontratar se o contrato permitir, devendo divulgar para o Grupo AlmavivA do Brasil qualquer uso ou alteração de subcontratados para tratar dados pessoais, antes do uso
▪ Os prestadores de serviços deverão possuir Plano de Contingência para garantir a continuidade dos serviços contratados, com a mesma qualidade e dentro dos prazos acordados, com o Grupo AlmavivA do Brasil
▪ Quando aplicável, os prestadores de serviços deverão possuir Política de Backup bem como procedimentos de restauração e monitoramento.
7. Disposições finais
Qualquer necessidade de ação em desacordo com as regras estabelecidas na Política de Segurança da Informação, na Política de Privacidade e suas políticas complementares devem ser direcionadas à Segurança da Informação para análise do risco, seu registro, e envio para a apreciação pela alçada competente e/ou Comitê de Segurança da Informação e Privacidade.
Política de Informação e Privacidade para Fornecedores
Conheça sues principais direitos
Confirmação e Acesso: Confirmar se existem uma ou mais atividades executadas pela AlmavivA do Brasil que utilizam suas informações pessoais, além de poder obter cópia de seus dados pessoais e outras informações relacionadas a você.
Correção: Correção de dados incompletos, inexatos ou desatualizados, para que possamos ter informações corretas e precisas sobre você.
Obs: Caso você seja funcionário da AlmavivA do Brasil, para corrigir seus dados, gentileza solicitar através do Fale com o RH.
Anonimização, Bloqueio ou Eliminação: Você poderá solicitar à AlmavivA do Brasil a anonimização, bloqueio ou eliminação de seus dados caso estes sejam desnecessários para a finalidade tratamento, excessivos para a busca do objetivo ou a atividade esteja em desconformidade com as finalidades informadas ou o tratamento não seja justificável pela Lei. Caso você não deseje mais que seus dados pessoais sejam tratados pela AlmavivA do Brasil, poderá solicitar a eliminação de suas informações de nossa base de dados.
Mas lembre-se: dados necessários para cumprimento de obrigação legal (contratual) ou regulatória ou com finalidades de tratamento legítimas, não podem ser excluídos.
Portabilidade: Solicitar o compartilhamento dos seus dados fornecidos à AlmavivA do Brasil, ou seja, a portabilidade dos seus dados, a outro fornecedor de serviço ou produto.
Informações sobre Compartilhamentos: Informações sobre das entidades públicas e privadas com as quais a AlmavivA do Brasil faz uso compartilhado de seus dados.
Obs: esta informação, para funcionários, está disponível no Aviso Interno de Privacidade, disponível no Portal do Colaborador > Regulamento de Conduta > Regulamentos
Revogação de Consentimento e Informações Relacionadas: Seu consentimento pode ser revogado a qualquer momento mediante manifestação expressa. Você também pode solicitar informações sobre a possibilidade de não fornecer seu consentimento e quais seriam as consequências para sua relação com a AlmavivA do Brasil.
Revisão de decisão automatizada: Direito de solicitar revisão de decisões tomadas unicamente com base em tratamento automatizado dos seus dados e que afetem seus interesses.
Para efetuar uma das solicitações acima:
Direitos dos Titulares de Dados Pessoais
Política de Segurança da Informação
1. Objetivo
Estabelecer diretrizes para garantir a segurança das informações corporativas, buscando o equilíbrio entre performance e confiabilidade, objetivando a perenidade dos negócios do Grupo AlmavivA do Brasil, fundamentadas nos seguintes itens:
▪ Alinhamento dos objetivos estratégicos de Segurança da Informação e Privacidade com os objetivos de negócio das empresas
▪ Redução dos impactos decorrentes de eventos de Segurança da Informação.
▪ Identificação dos principais riscos de segurança da informação e privacidade aplicáveis ao negócio.
▪ Disseminação das normas e diretrizes de segurança da informação e privacidade a todos os profissionais do Grupo AlmavivA do Brasil, terceiros aplicáveis e qualquer pessoa relacionada a expansão dos negócios do Grupo AlmavivA do Brasil.
Presidência, Diretoria Executiva e o Comitê de Segurança da Informação e Privacidade estão comprometidos com uma gestão efetiva de Segurança da Informação no Grupo AlmavivA do Brasil. Desta forma, adotam todas medidas cabíveis para garantir que esta política seja adequadamente comunicada, entendida e seguida em todos os níveis da organização.
Revisões periódicas serão realizadas para garantir sua contínua pertinência e adequação as necessidades da companhia.
2. Campo de aplicação
Esta política se aplica a todos os usuários da informação do Grupo AlmavivA do Brasil, incluindo qualquer indivíduo ou organização que possui ou possuiu vínculo com a AlmavivA, tais como empregados, ex-empregados, prestadores de serviço, ex-prestadores de serviço, colaboradores, ex-colaboradores, que possuíram, possuem ou virão a possuir acesso às informações da AlmavivA e/ou fizeram, fazem ou farão uso de recursos computacionais compreendidos na infraestrutura do Grupo AlmavivA do Brasil.
3. Referências
▪ NBR ISO/IEC 27001:2022 – Segurança da informação, segurança cibernética e proteção à privacidade — Sistemas de gestão da segurança da informação — Requisitos.
▪ NBR ISO/IEC 27002:2022 – Segurança da informação, segurança cibernética e proteção à privacidade — Controles de segurança da informação.
▪ NBR ISO/IEC 27701:2019 – Técnicas de segurança – Extensão da ABNT NBR ISO/IEC 27002 para gestão da privacidade da informação – Requisitos e diretrizes
▪ Política de Privacidade do Grupo AlmavivA do Brasil.
4. Definições
▪ Segurança da Informação (SI): Proteção contra o uso ou acesso não-autorizado à informação, bem como a proteção contra a negação do serviço a usuários autorizados, enquanto a integridade e a confidencialidade dessa informação são preservadas. A SI não está confinada a sistemas de computação, nem à informação em formato eletrônico. Ela se aplica a todos os aspectos de proteção da informação ou dados, em qualquer forma. O nível de proteção deve, em qualquer situação, corresponder ao valor dessa informação e aos prejuízos que poderiam decorrer do uso impróprio da mesma. A SI também cobre toda a infraestrutura que permite o seu uso, como processos, sistemas, serviços, tecnologias e outros.
▪ Privacidade: Privacidade de dados é o direito de gerenciar como suas informações pessoais são coletadas e utilizadas.
5. Responsabilidades
Compete Diretoria Executiva:
▪ Promover e aprovar as atividades do Sistema de Gestão de Segurança da Informação e Privacidade.
Compete ao Comitê de Segurança da Informação e Privacidade:
▪ Conduzir uma avaliação periódica sobre a Segurança da Informação
▪ Garantir a disponibilidade dos recursos necessários para uma efetiva gestão de segurança da informação
▪ Disseminar a cultura de Segurança de Informação e Privacidade
▪ Alinhar os objetivos estratégicos de Segurança da Informação e Privacidade com os objetivos de negócio do Grupo AlmavivA do Brasil
▪ Apoiar e aprovar atividades de melhoria contínua do Sistema de Gestão da Segurança da Informação e Privacidade
▪ Deliberar sobre aplicação de sanções quando for observado o descumprimento desta política e demais políticas estabelecidas pela área de Segurança da Informação e Privacidade.
Compete aos Colaboradores, Terceiros, Fornecedores e demais partes interessadas pertinentes:
▪ Cumprir as orientações desta política e demais políticas estabelecidas pela área de Segurança da Informação e Privacidade
▪ Zelar pela segurança das informações das empresas, informando quaisquer anormalidades percebidas a área de Segurança da Informação e Privacidade.
Compete a área de Segurança da Informação e Privacidade:
▪ Estabelecer as diretrizes de segurança da informação e privacidade
▪ Conscientizar as partes interessadas pertinentes sobre a segurança da informação
▪ Identificar e reportar os riscos referentes à segurança das informações e Privacidade
▪ Estabelecer controles para mitigação dos riscos
▪ Manter e melhorar continuamente o sistema de gestão de segurança da informação.
6. Diretrizes
6.1 Diretrizes gerais
Esta política demonstra nossa capacidade e integridade em lidar com todas as partes interessadas. Portanto, essa política assegura que:
▪ As informações estão protegidas contra acesso não autorizado
▪ A confidencialidade da informação é mantida
▪ As informações não são divulgadas às entidades não autorizadas por meio de ações deliberadas ou descuidadas
▪ A integridade das informações é mantida para impedir modificações não autorizadas
▪ As informações estão disponíveis para usuários autorizados, quando necessário
▪ Sempre que ocorrer alterações legais, regulamentares, normativas ou contratuais que impactem o negócio do Grupo AlmavivA do Brasil, uma análise crítica é realizada a fim de que as adequações, se necessário, sejam realizadas
▪ Cada indivíduo tenha conhecimento adequado dos controles de gestão, dos controles operacionais e técnicos que ajudam a proteger os recursos e bens tecnológicos de informação do Grupo AlmavivA do Brasil
▪ As metas e objetivos são divulgados para as partes interessadas envolvidas, para que cada indivíduo tenha uma compreensão adequada de seu papel e responsabilidade em relação à segurança da informação e privacidade e à missão do Grupo AlmavivA do Brasil
▪ As políticas, procedimentos e práticas são comunicados às partes envolvidas do Grupo AlmavivA do Brasil.
6.2 Regulamentação
O Grupo AlmavivA do Brasil e as partes interessadas envolvidas se comprometem a atender integralmente aos requisitos de segurança da informação e privacidade aplicáveis ou exigidos por regulamentações, estatutos, leis e/ou cláusulas contratuais.
6.3 Riscos e ameaças
Todos os ativos de informação e associados devem ser periodicamente avaliados e os respectivos riscos ao negócio do Grupo AlmavivA do Brasil devem ser mapeados.
Os riscos e ameaças inerentes à segurança da informação e privacidade devem ser tratados através da implementação de controles específicos e devem ser periodicamente reavaliados.
A aceitação de riscos residuais deve ser aprovada pelo gestor e reavaliados periodicamente.
6.4 Fornecedores
O Grupo AlmavivA do Brasil dispõe de processo de avaliação de riscos dos fornecedores críticos.
Essa metodologia visa detectar, avaliar e gerenciar riscos nos serviços ou produtos prestados por fornecedores e que possam impactar diretamente no negócio do Grupo AlmavivA do Brasil.
Todos os terceiros devem se comprometer a agir de acordo com a Política de Segurança da Informação, sendo imprescindível que o contrato firmado entre as empresas possua cláusula que assegure a confidencialidade das informações e a adesão à Política de Segurança da Informação.
6.5 Auditorias
Periodicamente auditorias são realizadas para assegurar a eficácia do Sistema de Gestão de Segurança da Informação e Privacidade e de seus controles, bem como garantir a sua efetiva implementação e manutenção.
6.6 Continuidade de negócios
Os planos de continuidade de negócios são produzidos, mantidos e testados de acordo com as expectativas da gestão.
6.7 Classificação da informação
O processo de classificação da informação estabelecido pelo Grupo AlmavivA do Brasil tem o objetivo de proteger a informação contra a revelação. Para isso, todo e qualquer tipo de informação criada e/ou armazenada dentro das instalações da empresa deverá ser classificada por uma das seguintes opções:
▪ Pública
▪ Interna
▪ Restrita
▪ Confidencial.
6.8 Treinamento e conscientização
O Grupo AlmavivA do Brasil possui programa de comunicados e treinamentos para todos os colaboradores e partes interessadas apropriadas.
6.9 Tratamento de incidentes
Os incidentes de segurança ocorridos no Grupo AlmavivA do Brasil devem ser reportados para área de Segurança da Informação através dos canais oficiais da empresa, e-mail para Segurança da Informação e Privacidade: [email protected], principalmente os casos de indisponibilidade de sistemas e vazamento de informação de clientes.
Considera-se incidente de Segurança da Informação qualquer evento de segurança da Informação que tenha impacto no Grupo AlmavivA do Brasil, levando à necessidade de resposta e recuperação. São considerados incidentes de Segurança da Informação e Privacidade ocorrências da seguinte natureza:
▪ Perda, roubo ou furto de equipamento contendo informações corporativas
▪ Mau funcionamento ou sobrecarga de sistema devido a ataques internos ou externos
▪ Uso ou acesso aos sistemas de informação sem autorização
▪ Não conformidade com políticas e diretrizes de Segurança da Informação e Privacidade
▪ Desvio dos controles de Segurança da Informação implantados na AlmavivA
▪ Violação de acesso a áreas críticas contendo informações corporativas ou a sistemas.
Os incidentes devem ser priorizados de acordo com a classificação de impacto e criticidade registrados. Dessa forma é possível decidir quando se faz necessário o acionamento do grupo de resposta a incidentes, que por sua vez, decidirá quanto ao acionamento do plano de continuidade de negócios.
6.10 Segurança da Informação no gerenciamento de projetos
A Segurança da Informação é integrante participativa da elaboração e entrega de qualquer projeto especial ou não, que altere o padrão da infraestrutura do ambiente do Grupo Almaviva do Brasil.
Sendo responsável em avaliar os requisitos ou as necessidades solicitadas, se elas estão em conformidade com os objetivos e diretrizes da Segurança da Informação e estão sendo seguidas em todas as fases dos projetos.
A segurança da informação é responsável em avaliar e identificar os riscos e propor a melhor solução visando atender os objetivos da Segurança da Informação e Privacidade e os objetivos do projeto e/ou negócio.
6.11 Desenvolvimento seguro de sistemas
O desenvolvimento seguro é um requisito para construir serviço, arquitetura, software e sistema seguros no Grupo AlmavivA do Brasil. Para isso, devem ser considerados minimamente aspectos:
▪ Separação dos ambientes de desenvolvimento, teste e produção
▪ Segurança no ciclo de vida do desenvolvimento de software
▪ Requisitos de segurança na fase de especificação e design
▪ Pontos de verificação de segurança em projetos
▪ Repositórios seguros para código-fonte e configuração
▪ Segurança no controle de versão
▪ Conhecimento e treinamento necessários de segurança de aplicações
▪ Capacidade dos desenvolvedores para prevenir, encontrar e corrigir vulnerabilidad.
Para os testes de sistemas, selecionar, proteger e gerenciar as informações, considerando:
▪ Não copiar informações sensíveis nos ambientes de desenvolvimento e teste do sistema, a menos que sejam fornecidos controles equivalentes para os sistemas de desenvolvimento e teste
▪ Proteger informações sensíveis por remoção ou mascaramento, se usadas para testes.
Se o desenvolvimento for terceirizado, deve ser analisada a garantia de que o fornecedor está de acordo com as regras do Grupo AlmavivA do Brasil para o desenvolvimento seguro.
6.12 Segurança nas comunicações
Todas as comunicações entre os ambientes tecnológicos do Grupo AlmavivA do Brasil e as partes interessadas pertinentes devem utilizar canais de comunicações criptografados, utilizando cifras e algoritmos reconhecidamente seguros.
6.13 Cópias de segurança
Cópias de informações, configuração de softwares e sistemas devem ser mantidas e testadas regularmente de acordo com as políticas específicas sobre backup, permitindo a recuperação de dados ou sistemas, se necessário.
Para prevenir o vazamento de dados, devem ser usadas medidas como criptografia, controle de acesso e proteção física da mídia de armazenamento, quando aplicável.
6.14 Proteção e privacidade de dados pessoais
Todos os processos existentes no Grupo AlmavivA do Brasil que envolvam o tratamento de dados pessoais em qualquer base de dados devem seguir as diretrizes estabelecidas na Política de Privacidade.
6.15 Análise crítica de segurança da informação
Anualmente, ou sempre que surgir uma mudança significativa no modelo de negócio, deve ser realizado um processo formal de análise crítica da política de segurança da informação.
6.16 Melhoria contínua
A melhoria contínua do Sistema de Gestão da Segurança da Informação e Privacidade é um compromisso de todos no Grupo AlmavivA do Brasil e partes interessadas.
7. Disposições finais
Qualquer necessidade de ação em desacordo com as regras estabelecidas na Política de Segurança da Informação e na Política Privacidade e suas políticas complementares devem ser direcionadas à Segurança da Informação para análise do risco, seu registro, e envio para a apreciação pela alçada competente e/ou Comitê de Segurança da Informação e Privacidade.
O colaborador que fizer uso indevido ou não autorizado dos recursos das empresas, violar controle de segurança, ou de qualquer modo agir em desacordo com os termos dessa política, fica sujeito à aplicação de medidas disciplinares legalmente previstas, podendo haver responsabilização penal, civil e/ou administrativa, na forma da legislação em vigor.
