inove9
Falar conosco
inove9

LGPD

Clique em uma seção para abrir. Use o índice para navegar.

A proteção de dados é uma das principais preocupações das empresas e organizações em todo o mundo. Com a entrada em vigor da Lei Geral de Proteção de Dados (LGPD) no Brasil, a importância desse tema se tornou ainda mais evidente. Na nossa empresa, entendemos a relevância da LGPD e estamos comprometidos em garantir que todos os nossos projetos atendam às diretrizes da lei.
Para garantir a conformidade com a LGPD, seguimos uma série de procedimentos e boas práticas em todas as fases do desenvolvimento de sistemas. Isso inclui a coleta de dados apenas com o consentimento explícito dos usuários, a implementação de medidas de segurança adequadas para proteger os dados e a possibilidade de acesso, correção e exclusão de dados pessoais pelos titulares.
Além disso, nossos desenvolvedores são treinados regularmente para entender as melhores práticas de segurança e privacidade de dados e trabalhamos em colaboração com nossos clientes para garantir que seus sistemas estejam em conformidade com a LGPD.

 

Documentações Gerais:

POLITICA DE PRIVACIDADE

Entendemos que todos os nossos clientes, colaboradores, terceiros e parceiros da inove9 valorizam e se preocupam com a sua privacidade e a proteção de seus dados pessoais. Por esse motivo, abordamos a presente Política Interna de Privacidade, que possui como objetivo principal informá-los sobre a coleta, uso, compartilhamento e a forma geral de tratamento de seus dados pessoais, seja em meios digitais ou físicos, a fim de trazer uma maior transparência sobre como e com quais finalidades seus dados são utilizados pela empresa. 

Para garantir a privacidade e a proteção dos seus dados pessoais, é muito importante que você conheça e respeite as diretrizes da Política de Proteção de Dados Pessoais da inove9.

Este documento faz parte do programa de compliance da inove9 à Lei Geral de Proteção de Dados (Lei nº 13.709/2018 – “LGPD”). 

 

Escopo 

Esta política engloba duas modalidades de clientes: Clientes internos (Funcionários, terceiros e prestadores de serviços, que por algum motivo, trabalham ou visitam nossa unidade), Clientes externos (Clientes, consumidores dos nossos serviços e interessados) 

Se ficar com alguma dúvida, ou quiser nos enviar sua sugestão, iremos analisar prontamente. Envie um e-mail para: lgpd@inove9.com. 

 

Conceitos e Siglas 

Abaixo, encontram-se os significados, todas as siglas e conceitos que você irá encontrar nesta política: 

LGPD – LEI GERAL DE PROTEÇÃO DE DADOS: Lei n.º 13.709, de 14 de agosto de 2018 – Dispõe sobre o tratamento de dados pessoais em meios digitais ou físicos realizados por pessoa natural, ou por pessoa jurídica, de direito público ou privado, tendo como objetivo defender os titulares de dados pessoais e, simultaneamente, permitir o uso dos dados para finalidades diversas. 

ANPD – Autoridade Nacional de Proteção de Dados: Órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo território nacional. 

Dado Pessoal: Qualquer informação relacionada a pessoa natural, direta ou indiretamente, identificada ou identificável, seja em meio digital ou físico. 

Dado Pessoal Sensível: Categoria especial de dados pessoais referentes à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de carácter religioso, filosófico ou político, referentes à saúde ou à vida sexual, dados genéticos ou biométricos relativos à pessoa natural.

Titular do Dado: Pessoa natural a quem se referem os dados pessoais, tais como antigos, presentes ou potenciais clientes, colaboradores, contratados, parceiros comerciais e terceiros. 

Anonimização: Processo por meio do qual o dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, considerados os meios técnicos razoáveis e disponíveis no momento do tratamento. 

Cultura de Privacidade e Proteção de Dados. 

São objetivos da Política de Privacidade e Proteção de Dados Pessoais: 

Estabelecer as diretrizes e responsabilidades da inove9 que assegurem e reforcem o compromisso da Empresa com o cumprimento das legislações de proteção de dados pessoais aplicáveis;

Descrever as regras a serem seguidas na condução das atividades e operações de tratamento de dados pessoais realizadas pela inove9 e pelos destinatários desta Política, no âmbito das atividades da inove9, que garantem a sua conformidade; 

Diretrizes 

Com base nos princípios de proteção de dados pessoais ao tratamento: 

Finalidade: a inove9 realizará o tratamento de dados pessoais apenas para propósitos legítimos, específicos, explícitos e informados ao titular de dados pessoais, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades; 

Segurança: a inove9 utiliza medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão; 

Adequação: a inove9 realiza o tratamento de dados pessoais de forma compatível com as finalidades informadas ao titular de dados, e conforme o contexto do tratamento; 

Necessidade: o tratamento de dados pessoais realizado pela inove9 será limitado ao mínimo necessário para a realização de suas finalidades, levando em consideração o princípio da minimização, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento; 

Transparência: a inove9 garantirá, aos titulares de dados pessoais, informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento de dados pessoais, observados os segredos comercial;

Livre Acesso: a inove9 garante aos titulares de dados pessoais a consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados; 

Qualidade dos dados: a inove9 garante, aos titulares de dados pessoais, a exatidão, clareza, relevância e atualização dos dados, conforme a necessidade e para o cumprimento da finalidade de seu tratamento; 

Prevenção: a inove9 adota medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais; 

Não Discriminação: a inove9 garante a impossibilidade de realização do tratamento de dados pessoais para fins discriminatórios ilícitos ou abusivos; 

Responsabilização e Prestação de Contas: a inove9 se compromete a demonstrar a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais, e a eficácia dessas medidas. 

Com base no tratamento de dados pessoais e direitos dos titulares: 

Direito à confirmação da existência do tratamento: o titular de dados pessoais pode questionar, junto à inove9, se há a realização de operações de tratamento relativos a dados pessoais seus; 

Direito de acesso: o titular de dados pessoais pode solicitar e receber uma cópia de todos os dados pessoais coletados e armazenados; 

Direito de correção: o titular de dados pessoais pode requisitar a correção de dados pessoais que estejam incompletos, inexatos ou desatualizados; 

Direito de eliminação: o titular de dados pessoais pode requisitar a exclusão de seus dados pessoais de bancos de dados geridos pela inove9, salvo se houver um motivo legítimo para a sua manutenção, como eventual obrigação legal de retenção de dados. Na hipótese de eliminação, a Empresa se reserva o direito de escolher o procedimento de eliminação empregado, comprometendo-se a utilizar meio que garanta a segurança e evite a recuperação dos dados; 

Direito de solicitar a suspensão de tratamento ilícito de dados pessoais: a qualquer momento, o titular de dados pessoais poderá requisitar da inove9 a anonimização, bloqueio ou eliminação de seus dados pessoais que tenham sido reconhecidos por autoridade competente como desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD; 

Direito de oposição a um tratamento de dados pessoais: nas hipóteses de tratamento de dados pessoais não baseadas na obtenção do consentimento, o titular de dados pessoais poderá apresentar à inove9 uma oposição, que será analisada a partir dos critérios presentes na LGPD. 

Direito à portabilidade dos dados: o titular de dados pessoais poderá requisitar à inove9 que seus dados pessoais sejam disponibilizados a outro fornecedor de serviço ou produto, respeitados o segredo comercial e industrial da Empresa, bem como os limites técnicos de sua infraestrutura. 

Direito à revogação do consentimento: o titular de dados pessoais tem direito a revogar o seu consentimento. Entretanto, ressalta-se que isso não afetará a legalidade de qualquer tratamento realizado antes da retirada. Na hipótese de revogação do consentimento, talvez não seja possível fornecer determinados serviços. Sendo este o caso, o titular de dados pessoais será informado.

Com base no tratamento de dados pessoais e deveres dos titulares: 

Os deveres de cuidado, atenção e uso adequado de dados pessoais se estendem a todos os destinatários desta Política no desenvolvimento de seus trabalhos e atividades na inove9, comprometendo-se a auxiliar a Empresa a cumprir suas obrigações na implementação de sua estratégia de privacidade e proteção de dados pessoais: 

Modificação dos dados pessoais: Os titulares de dados pessoais precisam comunicar à inove9 sobre quaisquer modificações em seus dados pessoais na sua relação com a Empresa, via canais de comunicação disponibilidade pela empresa; 

Treinamentos: Os destinatários desta Política se comprometem a participar dos treinamentos, workshops, encontros e capacitações propostos pelo Encarregado de dados para a ampliação da cultura de proteção de dados pessoais na Empresa;

Deveres de todos os destinatários desta Política: Todos os destinatários desta Política têm o dever de contatar o Encarregado da inove9, quando da suspeita ou da ocorrência efetiva das seguintes ações: 

I – Operação de tratamento de dados pessoais realizada sem base legal que a justifique;

II – Tratamento de dados pessoais sem a autorização por parte da inove9 no escopo das atividades que desenvolve; 

III – Operação de tratamento de dados pessoais que seja realizada em desconformidade com a Política de Segurança da Informação da inove9; 

IV – Eliminação ou destruição não autorizada pela inove9 de dados pessoais de plataformas digitais ou acervos físicos em todas as instalações da Empresa ou por ela utilizadas; 

V – Qualquer outra violação desta Política ou de qualquer um dos princípios de proteção de dados.

Com base no tratamento de dados pessoais e relação com os Terceiros: 

Contratos: Todos os contratos com terceiros deverão conter cláusulas referentes à proteção de dados pessoais, estabelecendo deveres e obrigações envolvendo a temática, e atestando o compromisso dos terceiros com as legislações de proteção de dados pessoais aplicáveis. Destaca-se, ainda, que esses contratos serão revisados e submetidos à aprovação do Encarregado de dados – DPO, conforme arcabouço normativo vigente. 

Aceitação da Política: Todos os terceiros devem assinar o termo de aceitação desta Política, da Política de Segurança da Informação, submetendo as atividades contratadas no âmbito da relação com a inove9 também a essas normativas. 

Com base no tratamento de dados pessoais e Conformidade com às Leis de Proteção de dados pessoais: 

Conformidade: Visa garantir o compromisso da inove9 em zelar pelo tratamento adequado de dados pessoais para fins legítimos que possam ser objeto de suas atividades e reforça o seu compromisso com boas práticas de privacidade e proteção de dados. 

Disseminação: Fornecimento de treinamentos, orientações e aconselhamentos para os empregados da inove9 e terceiros, incluindo, mas não se limitando a cursos online, workshops, reuniões internas, conversas regulares, palestras, dentre outras iniciativas, comungando conteúdos disponibilizados no formato digital e presencial. 

Cuidados: Incorporação de preocupações e cuidados no tratamento de dados pessoais em todas as etapas de suas atividades, incluindo, mas não se limitando a rotinas administrativas, atividades de pesquisa, prestação de serviços, atividades de cunho acadêmico, dentre outras. 

Aprofundamento da avaliação dos riscos: Identificação e aprofundamento da avaliação dos riscos que podem comprometer o alcance dos objetivos da inove9 na área de privacidade e proteção de dados pessoais; definir, criar e implementar planos de ação e políticas para mitigar os riscos identificados; além de manter uma avaliação contínua dos cenários com vistas a avaliar se as medidas implementadas não requerem novas diretrizes e atitudes. 

Encarregado de Dados: Com o vigor da LGPD, a inove9 designa o Encarregado de Dados Alekxandr Rodriges, e-mail alekxandr@inove9.com ou lgpd@inove9.com, também referido como Data Protection Officer (DPO), que terá as seguintes responsabilidades:

I – Conduzir o Programa de Conformidade da LGPD na inove9, zelando pela sua fiscalização; 

II – Monitorar o cumprimento das legislações de proteção de dados pessoais aplicáveis, conforme as políticas da inove9;

III – Orientar os destinatários desta Política quanto ao regime de privacidade e proteção de dados pessoais da inove9; 

IV – Assegurar que as regras e orientações relativas à proteção de dados sejam informadas e incorporadas nas rotinas e práticas da inove9; 

V – Organizar treinamentos sobre proteção de dados pessoais na inove9; 

VI –  Prestar esclarecimentos, oferecer informações e apresentar relatórios sobre as operações de tratamento de dados pessoais e seus impactos para as autoridades públicas competentes (e.g. Ministério Público, Autoridade Nacional de Proteção de Dados Pessoais, etc.); 

VII – Auxiliar em auditorias ou qualquer outra medida de avaliação e monitoramento envolvendo proteção de dados; 

 

Alterações e Revisões 

Comprometendo-se a se manter em seu Programa de Conformidade da LGPD, reservamo-nos o direito de corrigir ou atualizar esta Política de Privacidade periodicamente, atualizando com as normas e recomendações emitidas pela ANPD e outras autoridades competentes, ao atualizarmos esta Política de Privacidade, atualizamos também a data no rodapé do documento. Em situações relevantes, principalmente na eventual modificação das finalidades para os quais os dados tenham sido coletados, o Titular será informado quanto às alterações realizadas. A nova Política de Privacidade entrará em vigor imediatamente após a publicação. 

 

Conclusão

A inove9 assume o compromisso consubstanciado em sua Política em empregar medidas técnicas e organizacionais adequadas no trato com dados pessoais, e esforça-se para proteção dos dados pessoais dos titulares de dados pessoais contra acessos não autorizados, perda, destruição, compartilhamento não autorizado, entre outras hipóteses. 

 

Serra – ES, 02 de Janeiro de 2023.

Documentações LGPD:

POLITICA DE SEGURANÇA DA INFORMAÇÃO

Atualmente, o alto número de vazamentos de dados em todos os segmentos da sociedade digital é uma consequência do fácil acesso, que, simultaneamente, gera um aumento na complexidade para armazenar tais informações. 

Como sabemos, a Segurança da informação é o pilar principal para a continuidade de um negócio e apresentamos neste documento orientações, normas, ações e responsabilidades relativas à Proteção da informação. 

As regras aqui estabelecidas serão observadas em todos os seus detalhes por todos os colaboradores da inove9 e solicitada documentação de prestadores de serviços.

Desta forma, quando divulgada e entregue a cópia deste documento, todos os que receberem se comprometem a respeitar todos os tópicos abordados e ficam cientes da repercussão de tais regras no seu dia-a-dia. 

São princípios para o Sistema de Gestão de Segurança da Informação a Confidencialidade, a Integridade e a Disponibilidade, conforme norma de mercado para a Segurança da Informação (NBR/ISO 27001-2013). Esses devem ser preservados, controlados e auditados para garantir que as informações estejam protegidas nas medidas exigidas para sua utilização.

Esta Política de Segurança da Informação (PSI), aprovada, compreende as diretrizes e normas que servem de base para atender aos princípios fundamentais da Segurança da Informação.

 

Propósito

Constituir diretrizes estratégicas, responsabilidades e competências visando à estruturação da segurança da informação e a conformidade com a LGPD (Lei Geral de Proteção de Dados) e com o Provimento 74/2018 CNJ; 

Promover ações necessárias à implementação e à manutenção da segurança da informação;

Orientar quanto à adoção de controles e processos para atendimento dos requisitos para Segurança da Informação;

Prevenir possíveis causas de incidentes e responsabilidade legal ao sistema de informação mantido pela inove9;

Combater atos acidentais ou intencionais de destruição, modificação, apropriação ou divulgação indevida de informações, de modo a preservar os ativos de informação e a imagem da inove9;

Estabelecer as competências e atribuições dos responsáveis envolvidos nesta política;

Tornar a segurança da informação como um dos elementos fundamentais no planejamento estratégico da inove9, conforme seus princípios básico

• Integridade: garantia de que a informação seja mantida em seu estado original, visando protegê-la, na guarda ou transmissão, contra alterações indevidas, intencionais ou acidentais. 

• Confidencialidade: garantia de que o acesso à informação seja obtido somente por pessoas autorizadas. 

• Disponibilidade: garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes, sempre que necessário

 

Diretrizes

Objetivo

O objetivo da gestão de Segurança da Informação da inove9 é garantir a gestão sistemática e efetiva de todos os aspectos relacionados à segurança da informação, provendo suporte às operações críticas do negócio e minimizando riscos identificados e seus eventuais impactos. 

Gestores de Segurança da Informação

Os Gestores de Segurança da Informação estão comprometidos com uma gestão efetiva de Segurança da Informação na inove9. Desta forma, adotam todas as medidas cabíveis para garantir que esta política seja adequadamente comunicada, entendida e seguida. Revisões periódicas serão realizadas para garantir sua contínua pertinência e adequação às necessidades da inove9. 

Proteção de Recursos 

Proteger os recursos de Tecnologia da Informação e Comunicações, as informações e sistemas contra a modificação, destruição, acesso ou divulgação não autorizada, garantindo sua confidencialidade, integridade e disponibilidade. 

Utilização de Informações e Recursos

Assegurar que informações e recursos tecnológicos sejam tornados disponíveis para Órgãos devidamente autorizados, e que sejam utilizados apenas para finalidades lícitas, éticas e administrativamente aprovadas. 

Nível de Segurança 

Garantir que na criação de novos serviços, a seleção de mecanismos de segurança e a aquisição de bens e contratação de serviços, levem em consideração o balanceamento de aspectos tais como: riscos, tecnologia, austeridade no gasto, qualidade, velocidade e impacto no negócio, possuindo sistema de proteção redundante para fazer detecção de intrusos. 

Conscientização

Tomar medidas para que Órgãos com acesso às informações, ambientes e recursos tecnológicos da inove9, sejam devidamente conscientizados quanto à Segurança da Informação, face às suas responsabilidades e atuação. 

Gestão de Ativos 

Assegurar a análise periódica dos ativos da informação (bases de dados e arquivos, contratos e acordos, documentação de sistemas, informações sobre pesquisa, manuais, material de treinamento, procedimentos de suporte ou operação, planos de continuidade de negócios, procedimentos de recuperação, trilhas de auditoria e informações armazenadas) de forma que estejam devidamente inventariados, protegidos, tenham um usuário responsável e tenham mapeadas suas vulnerabilidades e ameaças de segurança.

Monitoramento

Garantir o monitoramento do tráfego de informações efetuado em ambientes e recursos de Tecnologia de Informação e Comunicações, rastreando e identificando possíveis ocorrências de eventos críticos, no estrito interesse da administração da inove9, obedecendo à legislação aplicável.

Gerenciamento das Operações e Comunicações

Garantir a operação segura e corrente dos recursos do processamento da informação por intermédio da implementação de controles internos de segurança considerando as pessoas, procedimentos, ambientes e tecnologia. 

Desenvolvimento, Manutenção e Produção de Sistemas

Assegurar que o desenvolvimento, manutenção, aquisição e adaptação de produtos de mercado e sistemas internos e/ou externos, sejam providos dos requisitos de Segurança necessários para garantir informações confiáveis, íntegras e oportunas. 

Continuidade das Atividades

Garantir a continuidade das atividades da inove9, reduzindo a um período aceitável e factível, a interrupção causada por desastres ou falhas de segurança, por intermédio da combinação de ações de administração de crises, prevenção e recuperação dos serviços.

Terceirização ou Prestação de Serviços 

Manter nível de segurança da informação adequado, quanto aos aspectos desta política, naquilo que se refere à responsabilidade pelos procedimentos, sistemas e recursos, terceirizados no todo ou em parte, promovendo auditorias periódicas, buscando o cumprimento dos requisitos de segurança da informação. 

Conformidade 

Garantir o cumprimento das leis, regulamentos e normas que regem as atividades da inove9, para obter máxima aderência aos instrumentos legais e normativos, garantindo que os requisitos de segurança sejam cumpridos.

Administração da Segurança da Informação 

Assegurar que a administração da segurança da informação da inove9, seja feita pelo Administrador, por intermédio de área específica, com responsabilidades de estabelecer, implementar, manter e coordenar a elaboração e revisão da Política de Segurança da Informação, bem como avaliar e analisar assuntos a ela pertinentes. 

Prevenção e Resposta a Incidentes

Assegurar que medidas preventivas sejam tomadas visando diminuir o risco de ocorrência de fraudes e/ou incidentes que comprometam a segurança da informação, devendo existir canal de comunicação adequado para esse fim.

Gestão de Risco

Fundamentar-se em atividades coordenadas para direcionar e controlar a inove9 no que se refere aos riscos. Deve ser avaliado como uma combinação da probabilidade de um evento e a sua consequência, portanto, um compromisso entre a probabilidade de um evento e o seu impacto. 

Propriedade da Informação 

Garantir que toda informação armazenada e em trânsito pela inove9 por meio de tecnologia, procedimentos e ambientes é de sua propriedade, e será usada apenas por usuários devidamente autorizados para fins profissionais, no estrito interesse da empresa. 

Backup

Os backups devem ser realizados por sistemas de agendamento. Além dos backups normalmente realizados no servidor, deverá ser feito backup adicional mantido em dispositivo externo com as informações codificadas (criptografadas) em ambiente seguro para armazenagem fora da inove9. A rotina implementada de backup deve estar formalmente documentada para consultas e auditorias. 

 

 

Papéis e Responsabilidades

 

Compete à área de Segurança da Informação: 

Propor controles e melhorias relacionados ao tema de segurança da informação; 

Definir e documentar as políticas e procedimentos relacionados à operacionalização da segurança da informação; 

Monitorar e analisar os alerta e informações relacionados à segurança das informações; 

Apoiar a avaliação e a adequação de controles específicos de segurança da informação para novos sistemas ou serviços; 

Testar a eficácia dos controles utilizados e informar aos gestores os riscos residuais; 

Disseminar a cultura de Segurança junto às demais áreas da Instituição;

Participar dos projetos em que a área estiver envolvida, acompanhando e sugerindo questões relacionadas ao tema da área;

Proteger as informações contra acessos indevidos e divulgação não autorizada; 

Zelar para que os recursos tecnológicos sejam utilizados de forma eficaz, dentro das finalidades da inove9 e de Conhecimento do Gestor;

Não compartilhar ou divulgar credenciais de acesso, ou equipamentos, sem a autorização explícita;

Cumprir as regras estabelecidas na PSI, normas e procedimentos de segurança da informação, bem como as demais leis, regulamentos e normas aplicáveis; 

Estar atualizado em relação a esta PSI e aos procedimentos e normas relacionadas, buscando orientação do Gestor sempre que estiver com dúvidas;

Não criar, adquirir ou realizar uso de softwares não homologados, ou não autorizados pelo Gestor; 

Realizar as cópias de segurança do ambiente tecnológico;

Configurar os equipamentos, ferramentas e sistemas como todos os controles necessários para cumprir os requerimentos de segurança estabelecidos nesta PSI e normas adicionais;

Planejar, implantar, fornecer e monitorar a capacidade de armazenamento, processamento e transmissão, necessárias para ambiente computacional. 

 

Compete ao Gestor da área de Segurança 

Determinar as diretrizes de Segurança da Informação;

Apresentação de assuntos relevantes quando cabível;

Reforçar junto à equipe de Segurança da Informação, o cumprimento das diretrizes desta PSI, bem como servir como replicador das boas práticas e controles;

Propor ajustes e ferramentas à área de Segurança da Informação que auxilie nos processos de negócio da área; 

Informar, à área de Segurança da Informação, sobre o encerramento de contratos em que os prestadores de serviços possuam qualquer tipo de acesso físico ou lógico às informações;

Contribuir nos processos de revisão periódica de acessos ou em outras situações em que forem acionados pela área de Segurança da Informação.

 

Compete à área Jurídica da inove9 

Requerer a inserção de cláusulas que obriguem o cumprimento desta PSI e demais leis, regulamentos e normas aplicáveis aos prestadores de serviços, cujos contratos tenham sua análise requerida ao departamento, assegurando que as informações sejam utilizadas apenas para sua finalidade dentro da inove9 e preservando sua confidencialidade. 

 

Sanções e Punições

Na hipótese de violação desta PSI ou das normas de segurança da informação, o Gestor determinará as sanções administrativas que serão aplicadas ao infrator, sendo que:

Para os colaboradores, pode acarretar aplicação de advertência e/ou suspensão, ou desligamento formal;

Para os prestadores de serviços, pode acarretar aplicação rescisória imediata do respectivo contrato estabelecido violado. 

A aplicação de sanções e punições será realizada conforme a análise do Gestor de Segurança da Informação, devendo-se considerar a gravidade da infração, efeito alcançado, recorrência e as hipóteses previstas pelas devidas Leis, podendo, no uso do poder, disciplinar que lhe é atribuído, aplicar a pena que entender cabível quando tipificada a falta grave; 

Para o caso de violações que impliquem em atividades ilegais, ou que possam incorrer em dano a inove9, o infrator será responsabilizado pelos prejuízos, cabendo aplicação das medidas judiciais pertinentes. 

 

Casos Omissos 

Os casos omissos serão avaliados pelo Gestor de Segurança da Informação para posterior deliberação. As diretrizes estabelecidas nesta política e nas demais normas e procedimentos de segurança, não se esgotam em razão da contínua evolução tecnológica e constante surgimento de novas ameaças. Desta forma, não se constitui rol enumerativo, obrigação da área de Segurança da Informação da inove9, adotar, sempre que possível, outras medidas de segurança além das aqui previstas, visando garantir proteção às informações.

 

Disposições finais 

I – Este documento será reavaliado a cada 1 (um) ano ou sempre que surgirem novos requisitos tecnológicos, corporativos e/ou legais. 

II – Em caso de alteração de política a mesma será disponibilizada através do site e enviada aos titulares dos dados.

III – A implementação deste documento está sujeita a disponibilidade de recursos financeiros e humanos. 

IV – Este documento poderá ser complementado por normas e procedimentos específicos. 

Em caso de dúvidas, comentários e/ou sugestões relacionadas a este PSI, entre em contato com o DPO (encarregado) da Empresa, que está à disposição nos seguintes endereços de contato: 

DPO (encarregado): Alekxandr Rodriges, e-mail alekxandr@inove9.com ou lgpd@inove9.com.

 

Serra – ES, 19 de Janeiro de 2023.

POLITICA DE BACKUP

Para manter a continuidade do negócio da inove9, em sua missão como fornecer alta tecnologia, com produtos originais, de fácil compreensão, é fundamental estabelecer mecanismos que permitam a guarda dos dados e sua eventual restauração em casos de perdas por erro humano, ataques externos, catástrofes naturais ou outras ameaças. 

No sentido de assegurar a proteção dos dados eletrônicos da Empresa inove9, o presente documento apresenta a política de backup e restauração, onde se estabelece o modo e a periodicidade de cópia dos dados armazenados pelos sistemas computacionais. 

Os responsáveis pelos dados deverão ter ciência dos tempos de retenção estabelecidos para cada tipo de informação e os administradores de backup deverão zelar pelo cumprimento das diretrizes estabelecidas.

Para garantir a privacidade e a proteção dos seus dados pessoais, é muito importante que você conheça e respeite as diretrizes da Política de Backup e Restauração da inove9. 

Este documento faz parte do programa de compliance da inove9 à Lei Geral de Proteção de Dados (Lei nº 13.709/2018 – “LGPD”). 

 

Orientações Gerais 

As diretrizes desta instrução normativa devem considerar, prioritariamente, os requisitos legais, os objetivos estratégicos, a estrutura e a finalidade da Instituição. 

Cabem aos administradores preverem a realização de testes periódicos de restauração, no intuito de averiguar os processos de backup e estabelecer melhorias. 

A administração dos backups também deve ser orientada para que seus trabalhos respeitem as janelas para execução, inclusive realizando previsão para a ampliação da capacidade dos dispositivos envolvidos no armazenamento. 

Em caso de mídias físicas, as mesmas que estiverem defeituosas ou inservíveis serão encaminhadas para picotamento, incineração, procedimentos de sobrescrita de dados remanescentes (disco rígido) ou outro procedimento que impossibilite a recuperação dos dados por terceiros. 

Todo e qualquer ativo que armazene dados e que esteja sob responsabilidade da inove9 deverá ser considerado para avaliação de inclusão no processo de backup. 

 

Conceitos e Definições 

Administrador de backup: responsável pelos procedimentos de configuração, execução e monitoramento de backup e pelo acompanhamento dos testes nos procedimentos de restauração; 

Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais; 

Encarregado de Dados (DPO – Data Protection Officer): pessoa indicada pelo Controlador e Operador para atuar como canal de comunicação entre o Controlador, os Titulares dos Dados e a Autoridade Nacional de Proteção de Dados (ANPD). 

Auditor: pessoa ou empresa nomeada por uma empresa para executar uma auditoria.

Backup full: cópia de segurança de dados computacionais; 

Backup total: backup em que todos os dados são copiados integralmente (cópia de segurança completa); 

Backup incremental: backup em que somente os arquivos novos ou modificados são copiados; 

Backup diferencial: backup em que os arquivos novos ou modificados da base de dados incremental são copiados; 

Clientes de backup: todo equipamento servidor no qual é instalado o cliente de backup; 

Disaster Recovery: estratégia de recuperação de dados motivada por sinistros de grave amplitude física ou lógica;

Mídia: meio físico no qual se armazenam os dados de um backup; 

Retenção: período em que o conteúdo da mídia de backup deve ser preservado; 

Restore: restauração de arquivos computacionais; 

 

Papéis e Responsabilidades 

Será nomeado o “Administrador de Backup”, ficando responsável pela política e procedimentos relativos aos serviços de backup e restore, bem como de guardar as mídias móveis e assegurar o cumprimento das normas aplicáveis. 

São atribuições do administrador de backup: 

  • Providenciar a criação e manutenção dos backups; 
  • Configurar a ferramenta de backup; 
  • Manter as mídias preservadas, funcionais e seguras;
  • Efetuar testes de backup e auxiliar nos procedimentos de restore; 
  • Verificar diariamente os eventos gerados pela ferramenta de backup, tomando as providências necessárias para remediação de falhas; 
  • Restaurar os backups em caso de necessidade; 
  • Gerenciar mensagens e logs diários dos backups; 
  • Comunicar ao Controlador os erros e as ocorrências nos backups; 
  • Propor modificações visando o aperfeiçoamento da política de backup. 

Observação – O serviço de backup deve ser orientado para a restauração das informações no menor tempo possível, principalmente havendo indisponibilidade de serviços que dependam da operação de restore. 

Será nomeado o “Auditor”, ficando responsável pela auditoria relativos aos serviços de backup e restore, assegurar o cumprimento das normas aplicáveis. 

É atribuição do Auditor: 

  • Validar o resultado dos Backup e Restore, considerando os princípios de Segurança da Informação (integridade, disponibilidade e confidencialidade).
  • Informar o Controlador os resultados obtidos nas auditorias. 

É atribuição do Controlador: 

  • Deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. (Art 48 – LGPD). 

 

Procedimentos de Backup 

A criação e operação dos backups deverão obedecer às seguintes orientações: 

Criação de backups: 

O backup deverá ser programado para execução automática;  

Operação de backups: 

O backup deverá ser monitorado pelo Administrador de Backup; 

Para todos os backups realizados, deve ser gerado um extrato automatizado pela própria ferramenta de backup. Tal extrato deverá ser enviado ao Auditor que prestará conta ao Controlador; 

Para os backups que apresentarem falhas, o Administrador de Backup deverá criar uma entrada no Sistema de Controle interno citando os clientes de backup e se houve ação corretiva adotada. Competirá ao Administrador de Backup tratar falhas remanescentes. 

Os backups deverão ser realizados preferencialmente como disposto a seguir:

I – os backups internos na inove9 serão executados a cada 1 hora, em modo incremental; 
II – os backups semanais internos na inove9 serão executados nos finais de semana, iniciando aos sábados, em modo incremental.
III – os backups mensais internos na inove9 serão executados no primeiro dia do mês, em modo incremental.
IV – os backups anuais internos na inove9 serão executados no primeiro dia do mês de janeiro, em modo completo. 
V – em caso de falha em algum procedimento de backup ou impossibilidade da sua execução, o Administrador de Backup deverá adotar as providências necessárias para promover a salvaguarda das informações através de outro mecanismo, como, por exemplo: nova execução do backup em horário comercial ou cópia dos dados para outro servidor. 

 


Procedimentos de Restauração 

A recuperação de backups deverá obedecer às seguintes orientações: 

I – Nos backups internos a solicitação de recuperação de objetos deverá sempre partir do responsável pelo recurso (Interno), através do Sistema de Controle interno. 

II – O chamado técnico deve conter, ao menos, o nome, o(s) objeto(s) a ser(em) recuperado(s), localização em que se encontra(m), a data da versão que deseja recuperar, local alternativo para o armazenamento do(s) objeto(s) recuperado(s), se for o caso, e a justificativa para recuperação. 

III – Este chamado será encaminhado ao Administrador de Backup, que após a conclusão da tarefa, realizará o fechamento do chamado indicando a restauração do(s) objeto(s). 

IV – A restauração de objetos somente será possível nos casos em que este tenha sido atingido pela estratégia de backup;

 

Auditoria 

Os backups mensais e semestrais deverão ser testados quanto à integridade e recuperabilidade dos objetos, de maneira amostral, no prazo máximo de uma semana após a sua execução.

Caso seja detectada falha no backup ou se o mesmo estiver incompleto, novo backup deverá ser executado com vistas ao seu armazenamento.

Para todos os testes realizados deverá criar uma entrada no Sistema de Controle interno com informações do teste realizado, constando data e o status do teste realizado. 

 

Descarte de mídias 

O descarte das mídias de backup inservíveis ou inutilizáveis deverá ser feito pelo Departamento de Segurança da Informação mediante solicitação do Administrador de Backup. 

Observação: As mídias de backup a serem descartadas deverão ser destruídas de forma a impedir a sua reutilização ou acesso indevido aos dados por pessoas não autorizadas conforme preconiza a Política de Segurança da Informação. 

Disposições finais 

  • Esta política será reavaliada a cada 1 (um) ano ou sempre que surgirem novos requisitos tecnológicos, corporativos e/ou legais. 
  • Em caso de alteração de política a mesma será disponibilizada através do site e enviada aos titulares dos dados.
  • A implementação dessa política está sujeita a disponibilidade de recursos financeiros e humanos. 
  • Esta política poderá ser complementada por normas e procedimentos específicos. 
  • Casos excepcionais ou não previstos serão tratados com o Controlador. 

Com o vigor da LGPD, a inove9 designa o Encarregado de Dados Alekxandr Rodriges, e-mail alekxandr@inove9.com ou lgpd@inove9.com, também referido como Data Protection Officer (DPO).

 

Conclusão 

A inove9 assume o compromisso consubstanciado em sua Política em empregar medidas técnicas e organizacionais adequadas no trato com dados pessoais, e esforçar-se para proteção dos dados pessoais dos titulares contra acessos não autorizados, perda, destruição, compartilhamento não autorizado, entre outras hipóteses. 

 

Serra – ES, 19 de Janeiro de 2023

PRONTUÁRIO DE FINALIDADE

O Prontuário de Finalidade da inove9, tem o intuito específico para a coleta, uso, armazenamento e compartilhamento de dados pessoais sob a Lei Geral de Proteção de Dados (LGPD), no Brasil. Com objetivo de especificar claramente o propósito para o qual os dados serão usados, as bases legais para o tratamento dos dados, os direitos dos titulares dos dados e as medidas de segurança implementadas para proteger esses dados. 

Este prontuário de finalidade, aprovado, compreende as diretrizes e normas que servem de base para atender aos princípios fundamentais da Segurança da Informação.

Finalidade do Tratamento de Dados Pessoais

  • Descrição do negócio: Empresa especializada em desenvolvimento de software para gestão empresarial.
  • Importância da proteção de dados pessoais: A inove9 valoriza a privacidade de seus usuários e compromete-se em proteger seus dados pessoais conforme a legislação vigente.
  • Objetivo: Realizar a gestão e administração do software, incluindo atendimento ao cliente, suporte técnico, análise de dados e melhorias do software.
  • Dados pessoais tratados: Nome completo, endereço de e-mail, número de telefone e informações sobre o uso do software.
  • Prazo de retenção: 5 anos após o término do contrato com o usuário.
  • Destinatários dos dados: Departamento de suporte técnico, departamento de análise de dados, departamento de desenvolvimento de software e departamento financeiro.


Medidas de Segurança

A inove9 adota medidas técnicas e administrativas necessárias para garantir a segurança e confidencialidade dos dados pessoais tratados.

  • Criptografia de Dados Pessoais: Todos os dados pessoais são armazenados em banco de dados criptografados para garantir a proteção dos dados.
  • Autenticação de Usuários: É exigida autenticação de usuários para acessar as informações de dados pessoais.
  • Controle de Acesso: É utilizado um sistema de controle de acesso para garantir que apenas pessoas autorizadas possam acessar os dados pessoais.
  • Backup de Dados: São realizados backups frequentes dos dados pessoais para garantir a recuperação em caso de perda ou corrupção de dados.
  • Atualização de Software: Todos os softwares utilizados para tratar dados pessoais são mantidos atualizados com as últimas correções de segurança.
  • Treinamento de Funcionários: Todos os funcionários da empresa são treinados sobre a importância da proteção de dados pessoais e sobre as medidas de segurança necessárias para garantir a proteção dos dados.
  • Análise de Segurança Periódica: São realizadas análises de segurança mensais para verificar a eficácia das medidas de segurança e identificar possíveis vulnerabilidades.
  • Plano de Continuidade de Negócios: Foi implementado um plano de continuidade de negócios para garantir a proteção dos dados pessoais em caso de interrupções no funcionamento da empresa.
  • Política de Privacidade: A inove9 disponibiliza uma política de privacidade clara e concisa para informar os usuários sobre como os seus dados pessoais são tratados.

Direitos do Titular

Os usuários têm o direito de acessar, corrigir e excluir seus dados pessoais a qualquer momento.

Caso deseje exercer seus direitos, o usuário deverá entrar em contato com o departamento de privacidade da empresa pelo e-mail lgpd@inove9.com ou telefone (27) 4042-4440.

Disposições finais 

I – Este documento será reavaliado a cada 1 (um) ano ou sempre que surgirem novos requisitos tecnológicos, corporativos e/ou legais. 
II – Em caso de alteração de política a mesma será disponibilizada através do site e enviada aos titulares dos dados.
III – A implementação dessa política está sujeita a disponibilidade de recursos financeiros e humanos. 
IV – Este documento poderá ser complementado por normas e procedimentos específicos.

Conclusão 

A inove9 respeita a privacidade dos usuários e tratará seus dados pessoais de acordo com a LGPD e as diretrizes descritas neste prontuário de finalidade. Qualquer dúvida sobre o tratamento de dados pessoais poderá ser esclarecida por meio do departamento de privacidade da empresa. 

Serra – ES, 19 de Janeiro de 2023.

PLANO DE CONTINUIDADE DE NEGÓCIO

A Empresa inove9 é uma empresa de software que coleta, armazena e processa dados pessoais de seus clientes e usuários. Em conformidade com a Lei Geral de Proteção de Dados (LGPD), estabelecemos este plano de continuidade de negócio para garantir a proteção dos dados pessoais e manter a confiança dos nossos clientes.

Objetivos

Identificar e mapear os dados pessoais coletados pela empresa;
Avaliar os riscos de violação de privacidade e segurança dos dados pessoais;
Implementar medidas técnicas e administrativas para proteger os dados pessoais;
Treinar os funcionários da empresa sobre as normas e diretrizes da LGPD;
Atender às solicitações dos titulares de dados.

Mapeamento de dados pessoais

A empresa realiza um mapeamento completo dos dados pessoais coletados, armazenados e processados, incluindo a origem, o motivo da coleta, o destino e a forma de armazenamento e proteção.

Tipos de dados pessoais coletados

A tabela abaixo apresenta os tipos de dados pessoais coletados pela empresa :


Tipo de dado pessoal

Descrição

Origem

Finalidade

Nome completo

Nome completo do cliente ou usuário

Formulário de cadastro

Identificação do cliente ou usuário

Endereço de e-mail

Endereço de e-mail do cliente ou usuário

Formulário de cadastro

Comunicação com o cliente ou usuário

Número de telefone

Número de telefone do cliente ou usuário

Formulário de cadastro

Comunicação com o cliente ou usuário

Número de CPF/CNPJ

Número de CPF/CNPJ do cliente ou usuário

Formulário de cadastro

Identificação do cliente ou usuário

Armazenamento de dados pessoais

Os dados pessoais coletados pela empresa são armazenados em um banco de dados seguro e criptografado. O acesso a esses dados é restrito a funcionários autorizados da empresa.

Análise de riscos

Análise de riscos realizada pela inove9 para identificar e avaliar os riscos potenciais que podem afetar a operação da empresa e interromper ou prejudicar sua continuidade. A análise de riscos é uma parte importante do nosso Plano de Continuidade de Negócios (PCN) e serve como base para o desenvolvimento de medidas de mitigação e de contingência para garantir a continuidade dos negócios em caso de interrupção ou crise.

Identificação de Ameaças

Durante a análise de riscos, identificamos as seguintes ameaças potenciais que podem afetar a operação da empresa:

  • Desastres naturais (por exemplo, incêndios, enchentes, terremotos)
  • Problemas técnicos (por exemplo, falhas de energia, problemas de rede)
  • Ataques cibernéticos (por exemplo, vírus, invasões de rede)
  • Problemas de segurança (por exemplo, roubo de equipamentos, invasões)
  • Problemas com funcionários (por exemplo, greves, absenteísmo)

Avaliação de Impacto

Avaliamos o impacto potencial de cada ameaça na operação da empresa, incluindo o tempo de interrupção, a perda financeira e o impacto na reputação. 

A seguir, apresentamos a avaliação de impacto para cada ameaça identificada:

  • Desastres naturais: Tempo de interrupção prolongado, perda financeira significativa, impacto negativo na reputação.
  • Problemas técnicos: Tempo de interrupção limitado, perda financeira moderada, impacto moderado na reputação.
  • Ataques cibernéticos: Tempo de interrupção prolongado, perda financeira significativa, impacto negativo na reputação.
  • Problemas de segurança: Tempo de interrupção limitado, perda financeira moderada, impacto negativo na reputação.
  • Problemas com funcionários: Tempo de interrupção limitado, perda financeira moderada, impacto moderado na reputação.

Priorização dos Riscos

Classificamos os riscos identificados em ordem de importância, com base no impacto potencial e na probabilidade de ocorrência, para podermos priorizar as medidas de mitigação e de contingência a serem implementadas. A seguir, apresentamos a priorização dos riscos:

  • Desastres naturais
  • Ataques cibernéticos
  • Problemas técnicos
  • Problemas de segurança
  • Problemas com funcionários

Medidas de Mitigação

Para mitigar os riscos identificados, desenvolvemos as seguintes medidas:

  • Desastres naturais: Instalação de sistemas de detecção e alarme, treinamento para funcionários sobre ações a serem tomadas em caso de emergência, contratação de seguro de responsabilidade civil para cobrir eventuais perdas financeiras.
  • Ataques cibernéticos: Implementação de soluções de segurança cibernética, treinamento para funcionários sobre ações a serem tomadas em caso de ataques cibernéticos, backup frequente dos dados, incluindo backup em nuvem.
  • Problemas técnicos: Instalação de equipamentos de backup, treinamento para funcionários sobre ações a serem tomadas em caso de falhas técnicas, contratação de empresa especializada em manutenção de equipamentos.
  • Problemas de segurança: Instalação de sistemas de segurança, treinamento para funcionários sobre ações a serem tomadas em caso de ameaças à segurança.
  • Problemas com funcionários: Treinamento para funcionários sobre a importância da continuidade dos negócios, desenvolvimento de políticas claras e justas de absenteísmo, documentos assinado pelo funcionário sobre suas responsabilidades e deveres.

Implementação de medidas de segurança

A empresa implementou medidas técnicas e administrativas para proteger os dados pessoais.

  • Backup regular e testado de dados e sistemas críticos
  • Acesso restrito a sistemas e informações sensíveis, com autenticação robusta e autorização de acesso.
  • Políticas de segurança da informação claras e bem definidas.
  • Planos de contingência para garantir a continuidade dos negócios em caso de interrupção ou crise.
  • Monitoramento contínuo e auditoria de segurança para identificar e corrigir vulnerabilidades.
  • Contratos de segurança com fornecedores e parceiros comerciais
  • Proteção física de ativos críticos, como servidores e centros de dados.

Treinamento de funcionários

A empresa treina todos os funcionários sobre as normas e diretrizes da LGPD e sobre como proteger os dados pessoais. O treinamento é realizado regularmente para garantir que todos os funcionários estejam atualizados.

Atendimento às solicitações dos titulares

A empresa está preparada para atender a todos os clientes e usuários dos clientes.

Disposições finais 

I – Este documento será reavaliado a cada 1 (um) ano ou sempre que surgirem novos requisitos tecnológicos, corporativos e/ou legais. 

II – Em caso de alteração deste documento o mesmo será disponibilizada através do site e enviada aos titulares dos dados.

III – A implementação deste documento está sujeito a disponibilidade de recursos financeiros e humanos. 

IV – Este documento poderá ser complementada por normas e procedimentos específicos. 

Conclusão 

A inove9 respeita a privacidade dos usuários e tratará seus dados pessoais de acordo com a LGPD e as diretrizes descritas neste prontuário de finalidade. Qualquer dúvida sobre o tratamento de dados pessoais poderá ser esclarecida por meio do departamento de privacidade da empresa. 

Serra – ES, 19 de Janeiro de 2023.

PLANO DE RESPOSTA A INCIDENTE DE SEGURANÇA

Este Plano de Resposta a Incidentes de Segurança da Informação (IRP) tem como objetivo estabelecer um processo formal e sistemático para garantir a proteção da informação e o gerenciamento de incidentes de segurança de forma eficiente e eficaz. Este plano define as responsabilidades, procedimentos e tarefas necessárias para detectar, avaliar, responder e recuperação de ameaças à segurança da informação da empresa. Além disso, este IRP é projetado para garantir que a empresa esteja preparada para responder de maneira eficaz e rápida a incidentes de segurança, a fim de minimizar seus impactos potenciais.

 

Objetivos

Os objetivos deste Plano de Resposta a Incidentes de Segurança da Informação incluem:

  1. Fornecer uma estrutura clara para a identificação, avaliação e resposta a incidentes de segurança da informação.
  2. Garantir a proteção dos dados sensíveis e confidenciais da empresa.
  3. Minimizar os danos e perdas decorrentes de incidentes de segurança.
  4. Restaurar o normal funcionamento dos sistemas e redes o mais rapidamente possível.
  5. Melhorar a eficiência na resposta a incidentes de segurança, através de um processo de resposta padronizado.
  6. Aumentar a conscientização sobre a importância da segurança da informação e a sensibilização dos funcionários sobre suas responsabilidades na proteção de dados.
  7. Melhorar a continuidade dos negócios, garantindo a disponibilidade dos sistemas e informações críticas.

 

O que é um incidente de segurança da informação envolvendo dados pessoais?

Um incidente de segurança da informação envolvendo dados pessoais é qualquer situação em que os dados pessoais de uma pessoa (como nome, endereço, número de identificação, informações financeiras, entre outros) são comprometidos ou ameaçados de forma inadequada, ou ilegal. Isso pode incluir acesso não autorizado, vazamento, perda, roubo ou corrupção de dados pessoais, bem como a utilização inadequada ou maliciosa desses dados.

 

Papéis e responsabilidades

Cada área da Empresa, sejam as áreas diretamente envolvidas na governança da Empresa ou não, tem responsabilidades quando da ocorrência ou mera suspeita de um Incidente, conforme descritas a seguir: 

Obrigações de Todas as Áreas

Comunicar imediatamente a Equipe de Resposta (conforme descrito abaixo), sobre a ocorrência ou a mera suspeita de um Incidente;

Cumprir rigorosamente a Política de Segurança da Informação da Empresa, contribuindo para a mitigação de riscos;  

Participar de treinamentos e programas de conscientização para mitigação de Incidentes.

Obrigações da Equipe de Resposta 

A Equipe de Resposta a Incidentes da Empresa é o grupo de Colaboradores designado abaixo para atuar nas respostas a Incidentes:

 

Área/Departamento

Pessoa Responsável

Administrativo

Glauk Santos de Lima

Pessoal 

Leiliane de Jesus Christo

Financeiro

Leiliane de Jesus Christo

Programação

Glauk Santos de Lima

Gerencial

Alekxandr Rodrigues

Comunicação

Glauk Santos de Lima

 Entre suas principais responsabilidades, destacamos:

 

  1. Atuar para detectar e corrigir os incidentes.
  2. Alertar, comunicar e aconselhar os colaboradores sobre incidentes emergentes.
  3. Educar e conscientizar os Colaboradores sobre a detecção e resposta aos Incidentes.
  4. Adotar demais medidas necessárias para prevenir incidentes e minimizar o impacto de seus efeitos. 

 

Detecção Do Incidente

Detectar um Incidente de forma rápida e eficiente é essencial para uma resolução bem-sucedida. São várias as formas de detecção, de modo que é impossível desenvolver uma metodologia que contemple cada uma. Desta forma, todos os Colaboradores devem atentar-se, principalmente, aos sinais mais comuns que podem desencadear um Incidente, como invasões de rede, perda ou furto de documentos, arquivos ou dispositivos, phishing, malware, instabilidades sistêmicas etc.

Uma vez detectado um Incidente ou detectada a mera suspeita de um Incidente, o Colaborador deverá comunicar imediatamente a Equipe de Resposta a Incidentes, por meio do e-mail lgpg@inove9.com e telefone (27) 99774-4073, mantendo o seu supervisor sempre em cópia. 

Na medida do possível, essa comunicação deverá conter (i) a hora e a data em que a suspeita do Incidente foi descoberta; (ii) o tipo de informações envolvidas; (iii) a causa e a extensão do Incidente; (iv) o contexto do ocorrido; bem como (v) qualquer informação adicional que sirva para facilitar o entendimento do evento, suas causas e consequências. 

A comunicação sobre a suspeita de um incidente é vital para a inove9. Assim, caso o colaborador suspeite de um incidente e não o comunique, sanções disciplinares poderão ser-lhe aplicadas, a depender da gravidade do incidente e da comprovação de eventual negligência do colaborador. 

 

Priorização do Incidente e Procedimentos para Resposta

Uma vez que o Incidente seja identificado e classificado, é necessário priorizá-lo conforme o nível de risco oferecido à Empresa e aos titulares dos Dados Pessoais eventualmente afetados e a gravidade da ocorrência. O impacto do Incidente deve ser aferido da seguinte forma:

De acordo com a matriz acima definida, a Equipe de Resposta a Incidentes deverá tomar as seguintes ações, simultaneamente ou, quando não for possível, em rápida sucessão: 

Baixa Gravidade

  1. Tão logo tenha ciência, trabalhar prioritariamente na resolução do Incidente; 
  2. Tomar as medidas adequadas para minimizar os efeitos causados pelo Incidente e para promover sua rápida correção; 
  3. Comunicar o Comitê de Proteção de Dados; 
  4. Comunicar as Áreas Envolvidas, que deverão estar à disposição da Equipe de Resposta; 
  5. Uma vez que as medidas de resolução sejam tomadas, documentar o Incidente e notificar via e-mail lgpd@inove9.com; 
  6. Reunir-se para analisar o incidente e antecipar, prevenir e melhor identificar incidentes semelhantes no futuro, devendo esta reunião ser transcrita em ata, que deverá ser apresentada ao Comitê de Proteção de Dados.

Média Gravidade

  1. Tão logo tenha ciência, trabalhar de forma exclusiva na resolução do Incidente; 
  2. Tomar as medidas imediatas para minimizar os efeitos causados pelo Incidente e para promover sua rápida correção e, se a correção não for possível de forma imediata, deve adotar as medidas temporárias para minimização de riscos; 
  3. Comunicar o Comitê de Proteção de Dados; 
  4. Comunicar as Áreas Envolvidas, que deverão estar à disposição para atender, com prioridade, a Equipe de Resposta; 
  5. Uma vez que as medidas de resolução sejam tomadas, documentar o Incidente, o mais breve possível, e notificar via e-mail lgpd@inove9.com;
  6. Reunir-se o mais breve possível para analisar o Incidente e antecipar, prevenir e melhor identificar Incidentes semelhantes no futuro, devendo esta reunião ser transcrita em ata documentada, que deverá ser apresentada ao Comitê de Proteção de Dados;
  7. Realizar, imediatamente, treinamento interno com as áreas afetadas para conscientizar os seus Colaboradores sobre o Incidente e medidas preventivas. 

Alta Gravidade

 

  1. Tão logo tenha ciência, trabalhar de forma exclusiva na resolução do Incidente; 
  2. Imediatamente comunicar os diretores responsáveis pelas Áreas Envolvidas, os quais, em conjunto com outra pessoa de cada uma das respectivas Áreas Envolvidas, devem atuar de forma exclusiva no suporte à Equipe de Resposta e preferencialmente no mesmo local em que a Equipe de Resposta esteja trabalhando; 
  3. Uma vez que as medidas de resolução sejam tomadas, documentar o Incidente, imediatamente, e notificar via e-mail lgpd@inove9.com; 
  4. Reunir-se, imediatamente, para avaliar o Incidente e antecipar, prevenir e melhor identificar Incidentes semelhantes no futuro, devendo esta reunião ser transcrita em ata, que deverá ser apresentada ao Comitê de Proteção de Dados; 
  5. Comunicar, imediatamente, os Colaboradores internos sobre medidas preventivas.
  6. Realizar, imediatamente, treinamento interno com todos os Colaboradores da Empresa para conscientizar sobre o Incidente e medidas preventivas; 

 Comunicação do Incidente 

Em cumprimento à legislação brasileira, incidentes considerados relevantes devem ser comunicados à Autoridade Nacional de Proteção de Dados (ANPD). A avaliação sobre quais Incidentes são materialmente relevantes cabe ao Comitê de Proteção de Dados, em conjunto com a Diretoria da Empresa. 

Caso um Incidente seja identificado como relevante e a sua comunicação à ANPD seja determinada pelo Comitê de Proteção de Dados, o departamento Jurídico deverá, com suporte da Equipe de Resposta, elaborar a documentação aplicável à comunicação, contendo:

 

  1. A descrição da natureza e da categoria dos Dados Pessoais afetados (ex. Dados sensíveis, dados de criança, dados cadastrais etc.); 
  2. As informações sobre os titulares dos Dados Pessoais envolvidos, a relação dos titulares dos Dados Pessoais afetados com a Empresa, o número de titulares afetados e o país de residência dos titulares dos Dados Pessoais afetados; 
  3. A indicação das medidas técnicas e de segurança utilizadas para a proteção dos Dados Pessoais, observados os segredos comercial e industrial; 
  4. Os riscos relacionados ao Incidente; 
  5. Os motivos da demora, no caso de a comunicação não ter sido feita de forma imediata; e 
  6. As medidas que foram e que serão adotadas para reverter ou mitigar os efeitos do Incidente.

 

Caso o Comitê de Proteção de Dados determine a comunicação sobre o Incidente aos titulares dos Dados Pessoais afetados, a área de [Relações Públicas, com suporte do Jurídico, do Atendimento ao Consumidor e da Equipe de Resposta], irá desenvolver a mensagem da comunicação, priorizando (i) os fatos ocorridos; (ii) as medidas já tomadas pela Empresa para minimizar o impacto dos efeitos; (iii) as eventuais medidas que possam ser tomadas pelos próprios titulares dos Dados Pessoais afetados para mitigar riscos; e (iv) os canais de contato para sanar dúvidas.

 

Disposições finais 

I – Este documento será reavaliado a cada 1 (um) ano ou sempre que surgirem novos requisitos tecnológicos, corporativos e/ou legais. 

II – Em caso de alteração de política a mesma será disponibilizada através do site e enviada aos titulares dos dados.

III – A implementação deste documento está sujeita a disponibilidade de recursos financeiros e humanos. 

IV – Este documento poderá ser complementado por normas e procedimentos específicos. 

Em caso de dúvidas, comentários e/ou sugestões relacionadas a este PRI, entre em contato com o DPO (encarregado) da Empresa, que está à disposição nos seguintes endereços de contato: 

DPO (encarregado): Alekxandr Rodriges, e-mail alekxandr@inove9.com ou lgpd@inove9.com.

 

Conclusão 

A inove9 respeita a privacidade dos usuários e tratará seus dados pessoais de acordo com a LGPD e as diretrizes descritas neste prontuário de finalidade. Qualquer dúvida sobre o tratamento de dados pessoais poderá ser esclarecida por meio do departamento de privacidade da empresa. 

 

Serra – ES, 19 de Janeiro de 2023.