Política de privacidade
Objetivo
A FWC está comprometida em resguardar a privacidade de nossos Colaboradores e clientes.
Esta Política de Privacidade e Proteção de Dados esclarece seus direitos e nossas obrigações
quanto ao tratamento de dados pessoais durante o uso de nossos Serviços. Por isso, é
importante que você leia estas regras e assim possa se relacionar conosco consciente das
condições de segurança que oferecemos.
Lembramos que o avanço tecnológico e as realidades do mercado podem vir a ditar alterações
a essa Política, assim recomendamos que você a consulte periodicamente.
Esta Política não prevalece sobre disposições diversas em contrato.
1.1 Definições
i) Tratamento de dados: toda operação que nós realizamos com dados. Isso inclui, por
exemplo, a obtenção (“coleta”), produção, utilização, acesso, transmissão, processamento,
armazenamento e eliminação dos dados.
ii) LGPD: a Lei Federal nº 13.709/18, também conhecida como Lei Geral de Proteção de Dados,
disciplina direitos e obrigações relacionados ao tratamento de dados no Brasil;
iii) Titular: pessoa física identificada ou identificável a quem os dados pessoais se referem
como você, são os titulares de seus próprios dados pessoais.
iv) Controlador: pessoa natural ou jurídica a quem competem as decisões referentes ao tratamento de dados pessoais;
v) Co controlador: terceiro que recebe dados compartilhados do Controlador para realizar
tratamentos com vistas às suas próprias finalidades;
vi) Encarregado: pessoa natural ou jurídica, indicada por um Controlador, responsável por dar
andamento aos requerimentos dos Titulares e da Autoridade Nacional de Proteção de Dados.
O Encarregado também é responsável por orientar nossos colaboradores a respeito de boas
práticas de proteção de dados pessoais;
vii) Finalidade: o que a FWC objetiva a partir do tratamento de um dado pessoal;
viii) Necessidade: a indispensabilidade de um dado pessoal para o atingimento da finalidade
pretendida;
ix) Consentimento: autorização livre, informada e inequívoca (sem deixar dúvidas) pela qual o
Titular concorda com o tratamento de seus dados pessoais para uma finalidade previamente
estipulada. Após conceder o consentimento, o Titular pode revogá-lo a qualquer tempo para
tratamentos futuros, sendo mantido, porém, o tratamento realizado até aquele momento;
x) Parceiros: são terceiros contratados para realizarem operações de tratamento de dados em
nome e em favor da FWC. Também são chamados de “Operadores”;
xi) Serviços: Os cookies são pequenos arquivos enviados ao navegador que permite lembrar
das informações do usuário a partir do primeiro acesso. São usados para facilitar o acesso
lembrando as preferências do usuário e melhorar a navegação, auxiliando na configuração de
publicidade ou contribuir para que a página web seja carregada corretamente no dispositivo.
A configuração dos cookies pode ser feita diretamente nas preferências do navegador, para
usuários do Google Chrome clique aqui:
https://support.google.com/chrome/answer/95647?hl=pt-BR&hlrm=pt
O que São Dados Pessoais
“Dados Pessoais” são quaisquer informações relacionadas a um Titular, ou seja, a uma pessoa
física identificada ou identificável. O Titular é identificado caso:
i) A FWC possua seus identificadores diretos e inequívocos – como nome, endereço completo;
e/ou
ii) Seja razoavelmente provável que a FWC possa identificá-lo por outros meios. Por exemplo,
um código identificador de dispositivo (device id) que possa ser vinculado ao nome de seu
dono.
Decisões feitas sobre dados de Titulares e opiniões pessoais sobre Titulares identificados ou
identificáveis também estão cobertas pelas normas de proteção de dados aplicáveis.
Caso os Dados Pessoais digam respeito a origem racial ou étnica, a convicção religiosa, a
opinião política, a filiação a sindicato ou a organização de caráter religioso, filosófico ou
político, à saúde ou à vida sexual ou a informações genéticas ou biométricas, os dados
pessoais serão “Dados Pessoais Sensíveis”.
3. Quais são as obrigações de nossos colaboradores e fornecedores
Todos os nossos colaboradores e fornecedores devem cumprir esta Política e qualquer outra
política estabelecida pela FWC, além dos termos de confidencialidade a que estiverem
vinculados. O descumprimento desta Política ou de outras normas internas pode resultar em
medidas disciplinares.
Caso você acredite que esta política está sendo violada de algum modo, por favor, entre em
contato com nosso Encarregado, pelo endereço ao final desta Política.
4. Informações específicas sobre o tratamento de seus dados pessoais
4.1 Legalidade e Transparência
A FWC obtém informações por meio de cookies, preenchimento de cadastro, recebimento dos
dados a partir de terceiro
4.1.2. Que Tipos de Dados Nós Coletamos, para qual finalidade e sob qual base legal?
Nós coletamos seus Dados Pessoais apenas para finalidades legítimas e nos casos em que as
leis aplicáveis permitem o tratamento, conforme a tabela abaixo:
Alguns de nossos Serviços e/ou seus recursos podem depender de seus Dados Pessoais para
serem disponibilizados a você. Quando o consentimento for necessário, caso você o negue ou
o revogue posteriormente, nossos Serviços e/ou seus recursos podem não funcionar
integralmente.
Nós sempre informaremos a você sobre alterações relevantes nos Dados Pessoais que
tratamos ou sua finalidade. Nós não trataremos Dados Pessoais para quaisquer finalidades
substancialmente incompatíveis com as descritas acima.
Quando a base legal para o tratamento não for o consentimento, sempre observaremos a
legislação vigente e os contratos eventualmente celebrados entre nós, bem como
respeitaremos seus direitos e liberdades individuais.
4.2. Necessidade, Adequação e Qualidade dos Dados Pessoais
Nós tomamos providências para que os Dados Pessoais tratados sejam adequados e relevantes
para as finalidades acima, bem como, na medida de nossas capacidades, sejam limitados ao
mínimo necessário para seu atingimento. Nós não coletaremos mais Dados Pessoais de você
além do que precisamos.
A FWC sempre atualiza seus Dados Pessoais quando necessário, porém, a veracidade dos
dados que você nos informa ao preencher cadastros é de sua responsabilidade. Caso entenda
que seus Dados Pessoais sob nosso tratamento estejam incorretos ou desatualizados, por
favor, entre em contato com nosso Encarregado, pelo endereço ao final desta Política.
4.3. Armazenamento de Dados Pessoais
Os seus Dados Pessoais permanecem armazenados em nossos servidores físicos ou nas nuvens
de nossos operadores contratados, no Brasil, sob as condições permitidas pelas normas
aplicáveis.
Nós manteremos seus Dados Pessoais armazenados por até seis meses, ressalvadas as
exceções permitidas nas leis aplicáveis, como a retenção sob a necessidade de cumprimento
de obrigação legal ou regulatória, de ou ordem de autoridade competente, para transferência
a terceiro que você nos tenha solicitado, ou após anonimização dos dados.
4.4. Integridade e Confidencialidade
Nós mantemos todos os Dados Pessoais sob tratamento seguros e protegidos contra
tratamentos não autorizados ou ilegais, e sua perda, destruição ou danificação. Tal segurança
é feita por meio das medidas listadas abaixo:
O controle de acesso apenas a funcionários que tenham necessidade de manusear os dados;
logins com senhas alteradas periodicamente; firewall; backup; salas seguras trancadas a chave
etc.
Nós possuímos planos de resposta a incidentes de segurança da informação com vistas a
mitigar, remediar e/ou reportar quaisquer incidentes conforme determinado pelas normas
aplicáveis. Se você suspeitar de qualquer comprometimento da sua privacidade ou segurança,
por favor, entre em contato com nosso Encarregado, pelo endereço ao final desta Política.
4.5. Responsabilidade e Prestação de Contas
4.5.1. Relatório de Impacto de Proteção de Dados Pessoais (“RIPD”):
Em alguns casos, nós realizaremos um RIPD. O RIPD é uma fiscalização conduzida pelo
Controlador para identificar e minimizar os riscos de descumprimento das normas de proteção
de Dados Pessoais.
4.5.2. Registro de Tratamento:
Nós mantemos registro de todos os tratamentos de dados realizados, conforme determinado
pela LGPD.
Quais São os Seus Direitos?
Em certas situações, nós devemos cumprir imediatamente seus requerimentos para exercício
dos direitos previstos na LGPD. Caso não nos seja possível cumpri-los imediatamente,
comunicaremos este fato a você e responderemos ao seu requerimento no prazo de 15
(quinze) dias, ou outro permitido pela Autoridade Nacional de Proteção de Dados.
Para termos certeza de que você é quem diz ser, seu requerimento deve vir acompanhado de
nome completo, e-mail de confirmação, CPF etc. Esta é uma medida de segurança para
garantir que seus Dados Pessoais não sejam divulgados a outras pessoas. Podemos também
contatá-lo para obter mais informações em relação ao seu requerimento. Caso seu
requerimento seja particularmente complexo, iremos notificá-lo da necessidade de mais
tempo e definir um novo prazo para resposta, além de mantê-lo atualizado sobre o
andamento de sua solicitação.
Resumimos os direitos previstos no art. 18, da LGPD, abaixo, com uma explicação sobre cada
um:
i) Confirmação da existência de tratamento: Caso você tenha dúvidas sobre se nós tratamos
seus Dados Pessoais, você pode solicitar confirmação sobre este fato. Nós, conforme a escolha
que você fizer, poderemos responder ao pedido de confirmação em formato simplificado
imediatamente, ou por meio de declaração clara e completa, que indique a origem dos dados,
a inexistência de registro, os critérios utilizados e a finalidade do tratamento, em até 15
(quinze) dias a contar do recebimento de seu requerimento.
ii) Acessos aos dados: Você pode nos solicitar acesso aos seus Dados Pessoais. Nós
apresentaremos a você uma lista das categorias de Dados Pessoais sob tratamento. Caso o
tratamento tenha ocorrido com base em seu consentimento ou em contrato, você também
poderá nos solicitar uma cópia completa de todos os Dados Pessoais em nossa posse,
ressalvados nossos segredos comerciais e industriais. Nós, conforme a escolha que você fizer,
poderemos responder ao pedido de acesso em formato simplificado imediatamente ou por
meio de declaração clara e completa, que indique a origem dos dados, a inexistência de
registro, os critérios utilizados e a finalidade do tratamento, em até 15 (quinze) dias a contar
do recebimento de seu requerimento.
iii) Correção de dados incompletos, inexatos ou desatualizados: Você pode solicitar, a qualquer
tempo, a retificação de seus Dados Pessoais em nossos registros.
iv) Anonimização, bloqueio ou eliminação: Caso você verifique que alguns de seus Dados
Pessoais são desnecessários, excessivos ou tratados em desconformidade com a lei, você
poderá exercer esse direito. Anonimizar significa retirar do Dado Pessoal a capacidade de ser
vinculado a você, segundo critérios legais, de modo a continuar sendo tratado sem interferir
com sua privacidade e fora do escopo da LGPD. Bloquear significa suspender o uso dos Dados
Pessoais no tratamento realizado por nós, sem eliminá-los e com possibilidade de reiniciar seu
tratamento, à sua escolha. Eliminar significa destruir os Dados Pessoais, interrompendo
definitivamente o tratamento. As leis aplicáveis podem permitir a manutenção do tratamento
mesmo em caso de pedido de anonimização, bloqueio ou eliminação.
v) Portabilidade: Em alguns casos, você poderá solicitar que seus Dados Pessoais sejam
transferidos a outro controlador. Nós nos reservamos o direito de não transferir dados
referentes a nossos segredos comerciais ou industriais.
vi) Eliminação: Você poderá requerer a eliminação de seus Dados Pessoais, desde que sejam
tratados sob seu consentimento. Nós poderemos reter seus Dados Pessoais em algumas
hipóteses previstas nas leis aplicáveis.
vii) Informação sobre entidades com as quais nós compartilhamos os seus dados: Poderemos
compartilhar seus Dados Pessoais com órgãos públicos ou entidades privadas para finalidades
específicas. Nós sempre lhe manteremos informados sobre os Co controladores com os quais
nós compartilhamos seus Dados Pessoais.
viii) Informação sobre a possiblidade de não fornecer consentimento e sobre as consequências
da negativa: Quando seu consentimento for necessário para o tratamento, nós sempre lhe
informaremos sobre a possibilidade de não consentir e as consequências do não
consentimento.
ix) Revogação do consentimento: Sempre que o tratamento for feito com base no seu
consentimento, você poderá retirar este consentimento a qualquer tempo, de modo que não
poderemos mais tratar seus Dados Pessoais a partir daquele momento, ressalvados os Dados
Pessoais que já tiverem sido tratados por nós.
6. Com que terceiros nós compartilhamos seus dados pessoais e para quais países eles são transferidos?
Nós transferimos seus Dados Pessoais para os terceiros listados abaixo:
i) Operadores de Dados (“Parceiros”): Nós contratamos Operadores que tratam seus dados em
nosso nome para viabilizar o armazenamento, análise de dados. Nossos Parceiros são
autorizados a utilizar seus Dados Pessoais somente para os fins específicos para os quais eles
foram contratados. Nós asseguramos que nossos Parceiros fornecem medidas de segurança
adequadas à proteção de seus Dados Pessoais.
ii) Co controladores: Eventualmente, nós poderemos transferir seus Dados Pessoais para
terceiros realizarem tratamentos com vistas a finalidades próprias, diferentes das descritas
nesta política, como autoridades públicas ou entidades privadas. Nós sempre lhe
informaremos antecipadamente este fato e pediremos seu consentimento para realizar a
transferência, desde que o tratamento não esteja autorizado por outra base legal. Atualmente,
nós compartilhamos seus Dados Pessoais com as entidades e para as finalidades listadas
abaixo:
Entidades: ANPD e SEFAZ.
Finalidade:
Para cumprir com suas obrigações regulatórias, a FWC compartilha seus dados com os
seguintes órgãos e entidades do Poder Público.
Para viabilizar pagamentos e outras operações financeiras similares, nós compartilhamos seus
dados com as seguintes instituições financeiras privadas: Itaú.
Nós não nos responsabilizamos pelos tratamentos feitos para finalidades particulares dos Co
controladores alheios à execução de seus contratos conosco. A descrição do tratamento feito
por Co controladores poderão ser obtida diretamente de seus Encarregados.
Alguns de nossos Parceiros eventualmente nos prestarão serviços a partir de outros países.
Sempre que nós enviarmos seus Dados Pessoais para outro país, a transferência será feita
conforme as leis aplicáveis. Atualmente, seus dados pessoais são transferidos unicamente para
Brasil.
7. Auditoria e Monitoramento
Nós auditamos o cumprimento desta Política, e implementaremos ações corretivas para
corrigir qualquer irregularidade.
Se você acredita que esta política não esteja sendo cumprida, por favor, entre em contato com
nosso Encarregado pelo endereço ao final desta Política.
8. Responsabilidades
As responsabilidades da FWC pelo tratamento descrito nesta Política estão limitadas aos
esforços de adoção de boas práticas, nos termos do art. 32, da LGPD.
9. Atualizações da Política de Privacidade
Nós buscamos sempre melhorar nossos serviços e nosso relacionamento com os
Colaboradores, por isso, esta Política pode passar por atualizações. Dessa forma,
recomendamos que você visite esta página periodicamente, para que tenha conhecimento
sobre tais modificações. Caso sejam feitas alterações relevantes que ensejem um novo
consentimento seu, iremos publicar essa atualização em nosso site e divulgá-la por meio de
nossos portais e de seu e-mail de contato/telefone, para solicitar a você um novo
consentimento, se necessário.
10. Como Falar com o Nosso Encarregado
Se você tem qualquer dúvida a respeito de como nós tratamos os seus Dados Pessoais ou
gostaria de fazer algum requerimento, entre os previstos na LGPD, por favor, entre em contato
com nosso Encarregado, nos seguintes endereços do contato:
Endereço: Av. Tiradentes, 451 – 10º andar – Vila Nova, Itu – SP, 13309-320
E-mail: dpo@fwc.com.br
Política de segurança da informação e Cibernética
1. Introdução
Com a evolução da tecnologia, a maior dependência do negócio à Tecnologia da Informação (chamada de transformação digital), o aumento das ameaças externas, as exigências dos reguladores, e o surgimento das leis de proteção de dados pessoais, cresceu a necessidade de implementação de recursos de segurança da informação e cibernética nas empresas e governos. Com a pandemia esta demanda aumentou ainda mais pois além de ter aumentado o uso dos recursos digitais, muitos profissionais passaram a trabalhar em casa e deixaram a proteção das redes dos escritórios.
Para aumentar a segurança no uso dos recursos de tecnologia da informação a FWC, também chamada de Organização neste documento, publica esta Política de Segurança da Informação e Cibernética, também chamada de PSIC, que é o documento que normatiza e orienta as regras corporativas para o uso seguro de ativos de tecnologia da informação. Diante da evolução tecnológica e do crescimento dos crimes cibernéticos, é necessário assumir um posicionamento firme e claro quanto à garantia da Segurança da Informação e Cibernética, e para isso apoia e fomenta este tema, buscando incorporá-lo à sua cultura, para tanto garantindo meios e recursos.
Este documento deverá estar disponível para fácil consulta por todos os servidores e funcionários e partes interessadas, e contar com versão assinada digitalmente para as prestações de contas que se mostrem necessárias.
2. Objetivos
A PSIC tem como objetivo estabelecer diretrizes e responsabilidades que permitam aumentar o nível da segurança da informação e cibernética a partir do comportamento seguro, do alinhamento com os objetivos do negócio e do engajamento dos usuários.
É também obrigação de cada usuário se manter atualizado em relação a esta PSIC, as normas e aos procedimentos relacionados, buscando a orientação do seu gestor sempre que não estiver absolutamente seguro quanto à aquisição, transporte, uso, manipulação e/ou descarte de informações.
Também tem o objetivo de indicar as ações a serem tomadas em caso de incidentes que possam comprometer os ativos de tecnologia da informação, as informações e os dados pessoais sob responsabilidade da FWC.
3 – Aplicação e Abrangência
Esta PSIC aplica-se a todos os servidores, funcionários, estagiários, visitantes e consultores externos de pessoa jurídica que prestam serviço em razão de contratos administrativos firmados na forma da Lei e, no que couber, no relacionamento com outros órgãos públicos ou entidades privadas na celebração de parcerias, acordos de cooperação de qualquer tipo, convênios e termos congêneres.
3.1 – Definições e Siglas
Esta Política adota as seguintes definições:
• Ativos de tecnologia da informação – Equipamentos, notebooks, desktops, celulares, impressoras, roteadores, switches, correio eletrônico, sistemas e informações de propriedade da FWC.
• Colaborador – (Servidores, Empregados, Funcionários): Todos os trabalhadores que mantenham vínculo empregatício pelo regime legal com a FWC.
• Necessidade de conhecer – Princípio que define o mínimo acesso necessário aos ativos para o desempenho das funções de cada colaborador, evitando assim que informações e ativos sejam acessados ou manuseados de forma inadequada ou por usuários não instruídos e/ou
autorizados.
• Parceiros de negócios – Toda pessoa física ou jurídica que produz, monta, cria, constrói, transforma, importa, exporta, distribui ou comercializa produtos ou serviços. Também podem ser chamados por fornecedores ou prestadores de serviços.
• Partes interessadas – Qualquer pessoa ou organização que pode afetar, ser afetada, ou perceber-se afetada por uma atividade da FWC.
• Privacidade – É o direito à reserva de informações pessoais e da própria vida pessoal. Toda pessoa tem o direito à sua vida privada e familiar, sua casa e sua correspondência. Fonte: Carta dos Direitos Fundamentais da União Europeia (2002).
• Proteção de Dados Pessoais – Implementação de controles de segurança da informação com objetivo de proteger dados pessoais e dados sensíveis.
• Planos de Continuidade de Negócios (PCN) – Procedimentos documentados que orientam as organizações a responder, recuperar, retomar e restaurar a um nível predefinido de operação após a interrupção nos processos de negócios.
• PSIC – Política de Segurança da Informação e Cibernética
• Segurança Cibernética – Preservação da confidencialidade, integridade e disponibilidade das informações no Espaço Cibernético. Além disso, outras propriedades como autenticidade, responsabilidade, não repúdio e confiabilidade podem também estar envolvidas.
• Segurança da Informação – É o conjunto de ações e controles com vista a garantir a preservação dos requisitos de confidencialidade, integridade, disponibilidade, autenticidade e conformidade das informações.
• TI – Tecnologia da Informação
• Titulares de dados – Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
• Usuário – Colaborador com vínculo empregatício de qualquer área da FWC ou fornecedores e parceiros de negócios alocados na Organização, indiferente do regime jurídico a que estejam submetidos, assim como outros indivíduos ou organizações devidamente autorizadas a utilizar
manipular qualquer ativo de tecnologia informação para o desempenho de suas atividades profissionais.
4 – Princípios de Segurança da Informação e Cibernética
Princípio 1: Estabelecer a segurança da informação nos processos críticos da FWC. A segurança da informação é responsabilidade de todos e deve ser tratada em um alto nível organizacional, de acordo com a tomada de decisões que leve em consideração todos os processos críticos de negócio, mantendo sempre a economicidade da proteção dos ativos de informação.
Princípio 2: Adotar uma abordagem baseada em riscos. Deve ser adotada uma gestão
de riscos de tecnologia e segurança da informação que seja apropriada e seja integrada à gestão de riscos da FWC. A segurança da informação é fundamentada em decisões baseadas em riscos como perda da vantagem competitiva, conformidade com a legislação, de responsabilidade civil, interrupções operacionais, danos à imagem e perdas financeiras.
Princípio 3: Estabelecer a direção de decisões de investimento. Deve ser estabelecida uma estratégia de investimento em segurança da informação baseado nos resultados nos negócios alcançados, tanto em curto como em longo prazo, visando atender as necessidades atuais e crescentes das partes interessadas.
Princípio 4: Promover um ambiente positivo de segurança da informação. Para instituir uma cultura positiva, deve-se promover e apoiar a coordenação das atividades das partes interessadas para atingir um direcionamento coerente para a segurança da informação. Isto ajudará na implantação de programas de treinamento, educação e conscientização.
Princípio 5 : Comprometimento da alta direção. A PSIC é aprovada formalmente pela Alta direção que demonstra o seu comprometimento e a obrigação que ela seja seguida por todos os colaboradores e partes interessadas.
4.1 – Diretrizes
A empresa FWC por intermédio da PSIC adota as diretrizes abaixo, equilibrando o risco e custo na implementação das ações de Segurança da Informação:
• Informação é patrimônio: Toda informação e recursos tecnológicos produzidos ou adquiridos pela FWC, bem como as informações produzidas por seus fornecedores ou parceiros de negócios são considerados parte do seu patrimônio nos casos e na extensão previstos
em contrato, devendo ser adequadamente protegidos e estar em conformidade com a legislação e os demais requisitos legais vigentes.
• Uso limitado aos objetivos do trabalho: Os ativos de tecnologia da informação devem ser utilizados exclusivamente para fins de trabalho;
• Confidencialidade: As informações confidenciais somente devem ser acessadas por pessoas autorizadas.
• Integridade: As informações e os dados pessoais devem estar protegidos contra alterações indevidas, intencionais ou acidentais na sua guarda e no seu armazenamento;
• Disponibilidade: Os usuários autorizados devem ter acesso à informação e aos ativos correspondentes sempre que necessário para o desempenho das suas atividades profissionais;
• Conformidade: O uso dos ativos de tecnologia da informação devem sempre respeitar a lei, as regulamentações e as políticas da FWC.
• Classificação da Informação: Os ativos de tecnologia da informação devem ser inventariados periodicamente e as informações contida neles devem ser classificadas quanto ao seu valor, os seus requisitos legais, sensibilidade, sigilo e criticidade para calibrar o nível de controles de
segurança da informação serão implementados para proteger as informações. Quanto maior o grau de sigilo, maior o nível de controle de segurança que deve ser implementado.
• Controle de Acesso: Todos os usuários internos e externos receberão uma identificação digital e somente terão autorização para acesso aos ativos de tecnologia da informação por meio de sistemas de controles de acesso configurados com as regras da FWC; Para os sistemas considerados críticos deve-se utilizar um segundo fator de autenticação.
• Acesso controlado com base na necessidade de conhecer: Deve-se implementar processos e ferramentas para rastrear, controlar, prevenir e corrigir o acesso seguro aos ativos críticos (por exemplo, informações, dados pessoais, sistemas) de acordo com a determinação formal de quais pessoas, estações de trabalho e sistemas têm necessidade e direito de acessar esses ativos críticos, com base em uma classificação da informação aprovada.
• Conhecimento, conscientização e engajamento: Esta política deve ser de conhecimento de todos os colaboradores e partes interessadas que devem segui-la. Em caso de restrição, impossibilidade ou incompatibilidade de seus termos com as atividades de negócio ou
tecnológicas, a área de Tecnologia da Informação deve ser imediatamente comunicado. Os usuários devem ser orientados quanto à necessidade de engajamento e as equipes técnicas devem estar atualizadas nos temas de segurança do ambiente tecnológico, ferramentas de segurança, desenvolvimento seguro e gestão da segurança;
• Privacidade e Proteção dos Dados Pessoais: A FWC é responsável por garantir o direito à privacidade e à proteção de dados pessoais dos seus Titulares de dados, implementando um maior controle sobre esses dados, por meio de práticas transparentes e seguras, visando garantir direitos e liberdades fundamentais. E pela premissa de julgamento justo, os terceiros e fornecedores também devem zelar pelo correto tratamento de dados pessoais dos colaboradores durante a sua posse para a execução das atividades contratuais.
• Privacidade por Design e por Padrão: Todos os processos, projetos, produtos, serviços e sistemas da informação devem considerar a segurança e a proteção de dados pessoais como o padrão e os projetos devem considerá-las desde a sua concepção, sempre que houver a
necessidade de um novo projeto, sistema ou processo, a Área de Tecnologia da Informação deve ser comunicado para as devidas providências. Os princípios gerais da LGPD e os padrões de segurança da informação devem, portanto, ser observados desde a concepção até o
encerramento do projeto.
• Gestão de Riscos: Deve ser feita uma avaliação de riscos de segurança antes da implementação de qualquer nova tecnologia, ferramenta ou solução em produção. Os riscos identificados devem ser tratados de acordo com o apetite ao risco da Organização.
• Teste periódicos de segurança cibernética. Periodicamente a FWC irá testar a sua força geral de defesa cibernética (a tecnologia, os processos e as pessoas) através da simulação das ações de um atacante mal intencionado, por intermédio de um teste de invasão interno e externo.
• Gestão de Incidentes e Gestão de Continuidade do Negócio: Em caso de ocorrências ou incidentes, os usuários devem comunicar imediatamente a Área de Tecnologia da Informação por meio do e-mail dpo@fwc.com.br Os incidentes devem ser identificados, monitorados,
comunicados e devidamente tratados de forma a impedir a interrupção das atividades e para não afetar o alcance dos objetivos estratégicos. Da mesma forma, quando o incidente envolver algum processo identificado como crítico, tornar-se-á necessário acionar o respectivo Plano de
Continuidade de Negócio. O PCN deve ser testado e atualizado periodicamente.
• Auditoria e Monitoramento: A FWC em conformidade com as leis aplicáveis, terá o direito de acessar e auditar, a seu critério e sem qualquer prévia notificação, eventualmente ou de forma contínua, recursos tecnológicos sob responsabilidade da organização e informações que neles são processadas ou armazenadas de qualquer colaborador, inclusive no acesso à internet (por exemplo: sites visitados, upload/download de arquivos, mensagens recebidas/enviadas de contas profissionais de e-mail, etc.). Ademais, pode-se disponibilizar, quando necessário, tais recursos tecnológicos e informações para análise de áreas internas ou externas de apoio à apuração de incidentes de segurança da informação. Tais atividades ajudam a gerenciar riscos e cumprir leis e regulamentações aplicáveis.
5 – Recomendações técnicas para os usuários:
Para o uso seguro dos seus ativos de tecnologia da informação, a FWC definiu as seguintes recomendações que devem ser seguidas por todos os usuários:
• Informações e dados Confidenciais
Todo colaborador assume o compromisso de não divulgar assuntos ou dados de natureza reservada ou confidenciais que lhe forem confiados por força de suas funções, ou que, porventura, venha a tomar conhecimento por qualquer origem, da FWC e de seus clientes;
O compromisso de não divulgar quaisquer dados confidenciais ou reter documentos originais ou cópias, reproduções, desenhos, etc., obtidos no decurso de suas atividades funcionais na FWC deve se manter após a rescisão do contrato de trabalho. Ao deixar a organização, o colaborador deve proceder com a devolução de tais dados/documentos ao superior imediato;
O colaborador assume esses compromissos, ficando ciente de que a FWC poderá, em decorrência da quebra de sigilo dessas informações ou retenções de quaisquer documentos, considerar como falta grave rescisória do contrato de trabalho, bem como propor em juízo representação por crime contra inviolabilidade de segredos, de acordo com o artigo 153, 154 do Decreto-Lei 2.848 de 07 de dezembro de 1940 – Código Penal e artigo 12 da Lei 7.492/86.
• Uso dos ativos de tecnologia da informação
Os ativos de tecnologia da informação que estão à disposição dos usuários são de propriedade da FWC. Desta forma, o usuário se compromete a somente usar os ativos apenas para fins
profissionais. O uso indevido dos ativos acarretará sanções legais, de acordo com a legislação de crimes cibernéticos em conformidade com o Código Penal brasileiro e sanções administrativas. É compromisso zelar pelo bom funcionamento destes ativos, portanto é vedado utilizá-los para fins pessoais;
As estações de trabalho (desktops e notebooks), dispositivos móveis corporativos (tablets e smartphone) e sistemas de informação, são propriedades da FWC e devem ser utilizados e
protegidos adequadamente pelos usuários;
O download de qualquer arquivo deve ser evitado e solicitado à área de TI. Existem códigos maliciosos, como cavalos de troia, que podem entrar em seu sistema, simulando ser de uma fonte conhecida. Na dúvida, fale com o a área de Tecnologia da Informação;
Evite fazer o download de arquivos de que não tem certeza de que são seguros. Fontes não confiáveis como grupos de notícias ou websites dos quais nunca ouviu falar podem ser fornecedores voluntários de vírus para o seu computador. Isso inclui programas gratuitos (freeware), protetores de tela, jogos e quaisquer outros programas executáveis (qualquer arquivo com extensão “.exe”, “.com”, ”.zip”, “.pif”. Se tiver que fazer um download, tenha certeza
de verificar cada programa antes de executado. Salve todos os downloads em uma pasta e faça uma verificação de vírus em seu conteúdo antes do uso;
A instalação e a utilização de softwares piratas e jogos não são permitidas. O usuário, caso haja uma fiscalização na FWC, poderá ser responsabilizado legalmente pelas autoridades; o Tenha bom senso. É preferível errar por excesso de segurança. Se tiver dúvidas sobre um anexo, exclua-o, especialmente se ele vier de uma fonte que você não reconheça. Se existirem animações atraentes em um site que pareça muito amador, não realize o download destas;
É vedado o armazenamento de conteúdo impróprio, assim como conteúdos particulares, por exemplo: fotos pessoais e arquivos, entre outros. Os ativos da informação da FWC não podem ser utilizados para mostrar, armazenar ou transmitir texto, imagem ou som que possam ser considerados ofensivos ou abusivos. O usuário será responsabilizado por qualquer ação, que resulte em prejuízo para a imagem da FWC, decorrente do mau uso dos ativos de informação sob sua responsabilidade;
Não é permitida a utilização de softwares de comunicação instantânea que permitam a comunicação entre usuários e grupos de usuários por meio da Internet, tais como, Skype, Whatsapp Web, Telegram, Google Talk, Facebook, Chat Desk e afins, exceto quando autorizado expressamente pela diretoria da FWC (neste caso, apenas para tratar temas relacionados às atividades profissionais dos colaboradores). Também não é permitida a execução de downloads ou uploads de quaisquer materiais ou arquivos por meio dessas ferramentas;
A tentativa de acesso ou o acesso a estações não autorizadas, a tentativa de quebra ou a quebra de sigilo de códigos alheios, o acesso e a modificação de arquivos pertencentes a outros u usuários sem a devida autorização, são consideradas faltas graves. Não é permitido desenvolver, manter, usar ou divulgar informações que possibilitem a violação dos computadores da rede;
O usuário, como custodiante das informações institucionais, deve na utilização do ativo de tecnologia da informação preservar os controles de segurança da informação implementados para proteger as informações que tenha acesso. O usuário, para preservar a segurança da informação, deve seguir está Política de Segurança da Informação, assim como as regras mencionadas neste documento;
Caso haja dúvida quanto à termos de uso possivelmente contraditórios com a Política de Segurança da Informação, os usuários devem entrar em contato com a área de TI para obter
esclarecimentos e autorização formal, antes de realizar qualquer operação relacionada aos ativos de tecnologia da informação.
Qualquer demanda para os ativos de tecnologia da informação deve ser aberto um chamado pelo usuário da informação.
• Controle de acesso lógico
Todo o cadastramento de usuários na rede é realizado pela TI. Os responsáveis pela sua área ou departamento devem comunicar aos administradores da rede e à área de Recursos Humanos,
quando houver transferência, afastamento ou demissão de funcionários, para a devida atualização (de acordo com os processos definidos);
Credenciais de usuários, como contas e chaves de acesso, são pessoais, individuais, secretas e intransferíveis. É proibido compartilhar as senhas de acesso à rede e aos sistemas internos
com os colegas de trabalho;
Todas as atividades efetuadas são registradas e associadas ao login do usuário, de modo a responsabilizá-lo no caso de irregularidades. O usuário será responsabilizado pelo uso indevido
destas credenciais. Em caso de suspeita da perda de sigilo, a senha deve ser trocada imediatamente. Periodicamente, o colaborador será solicitado a trocar periodicamente sua senha de acesso;
As credenciais de acesso são fornecidas para uso corporativo. Os usuários são responsáveis por qualquer atividade desenvolvida através de suas contas e chaves. A ativação da credencial constitui um acordo onde o usuário declara que compreende e respeitará todas os documentos normativos de segurança da informação. A FWC poderá revogar o acesso a qualquer momento, caso fique constatado qual foi a credencial de acesso que ocasionou um incidente de segurança;
O sistema exige que a senha seja de difícil decodificação (evitar data de nascimento, sobrenome, nome etc.). A senha pode ser alterada a qualquer momento pelo próprio usuário;
Quando for necessário se conectar a outra estação de trabalho, realize sua desconexão ao concluir o uso;
Para a formação de senhas devem ser seguidos as seguintes regras de formação:
• Tamanho mínimo de 14 caracteres;
• Utilizar pelo menos um caractere especial (ex: @, #, $, %, -, …);
• Utilizar pelo menos uma letra maiúscula, uma letra minúscula e um algarismo;
• É recomendado para a sua segurança que as senhas sejam trocadas periodicamente.
• Certificado digital e-CPF
O certificado digital e-CPF (identidade Digital da Pessoa Física no meio eletrônico), em token ou cartão, utilizado para assinatura digital é de uso pessoal e intransferível. Portanto, não deve, em
hipótese alguma, ser compartilhado com terceiros.
Uso de Aplicativos em Nuvem
Os usuários devem utilizar apenas os sistemas autorizados pela FWC, porém é sabido que existem diversas ferramentas em nuvem que ajudam a aumentar a produtividade do trabalho individual e das equipes. O uso destes sistemas deve ser precedido de autorização da área de TI. Caso seja necessário utilizar um sistema em nuvem para o trabalho, deve-se comunicar a área de TI para realizar as avaliações de segurança, o monitoramento do uso e o inventário do sistema;
O usuário deve proteger a sua conta de acesso ao aplicativo de nuvem com duplo fator de autenticação que podem ser dois dos fatores abaixo:
▪ Senha ou código PIN;
▪ Algo que o indivíduo possui, como uma chave física ou um token de segurança;
▪ Algo que faz parte da pessoa, como a impressão digital ou a retina, ambas utilizadas por meio de um scanner.
Caso o usuário armazene dados sigilosos no aplicativo de nuvem recomenda-se que seja utilizado também um software de criptografia para garantir a confidencialidade dos dados;
Os principais aplicativos de nuvem disponibilizam uma opção para controlar as permissões dos convidados que podem acessar os dados disponibilizados no serviço de nuvem. Antes de
compartilhar esses dados com outras pessoas, verifique se deseja que elas tenham a permissão de editar os documentos ou se estarão disponíveis apenas para somente leitura;
Para acessar os serviços de nuvem é de suma importância ter cuidado nos locais de acesso, lembre-se de desconectar-se da sua conta ao usar um computador público ou o equipamento de outra pessoa, evitando que seus dados fiquem expostos e salvos no computador de terceiros.
• Recursos não Monitorados pela área da TI
Os usuários devem ter especial atenção no uso de serviços de tecnologia que não são providos pela área de TI, pois eles podem ser uma ameaça à segurança da informação e à proteção de
dados pessoais;
A utilização dessas tecnologias sem aprovação da área de TI podem não estar alinhadas com as políticas e documentos normativos relativos à conformidade, segurança da informação, custo, acordos de nível de serviços com os fornecedores dessas tecnologias, confiabilidade e outros fatores importantes que determinam o suporte formal de um sistema de TI;
É vedada a aquisição de equipamentos e sistemas de Tecnologia da Informação sem a devida comunicação e aprovação da área de TI. Caso seja constatada a aquisição indevida de equipamentos e sistemas de TI deverá ser aberto um incidente de segurança da informação.
• Cópias de Segurança – Backup
É de responsabilidade do usuário realizar o backup das suas informações salvas nos ativos de tecnologia da informação utilizados por ele, nas pastas de rede interna destinada à sua área;
As informações de propriedade da FWC e não devem ser armazenadas localmente no computador, devendo o usuário armazená-las em local na rede corporativa ou no ambiente de
nuvem destinado ao departamento e sob orientação do gestor correspondente.
• Proteção e Segurança de Dados Pessoais
A Lei Geral de Proteção de Dados Pessoais do Brasil disciplina um conjunto de aspectos, entre eles a definição de obrigações das empresas para a adequação e conformidade. As exigências
englobam todos os processos em que haja tratamento de dados pessoais, seja o meio físico ou digital;
Com o advento da LGPD, o uso de dados pessoais passam a exigir tratamento especial, desta forma, devem ser seguidas as orientações desta Política e dos demais documentos normativos
da LGPD;
Seja consciente quando citar a FWC na Internet. Não divulgue informações internas confidenciais, como, por exemplo, informações sobre os seus dados pessoais, operações internas ou projetos da Organização, sem a prévia autorização do superior imediato;
É vedada a troca de informações que contém dados pessoais e sensíveis que não seja por e-mail ou via sistema autorizado pela área de TI;
• Correio Eletrônico (e-mail)
As mensagens de e-mail são propriedade da FWC independentemente de sua localização física. Todas as mensagens de correio eletrônico são consideradas como registro das atividades de negócio da Organização;
O endereço de correio é uma concessão da FWC para os seus usuários como uma ferramenta de trabalho. Ele representa não só o colaborador, mas também a imagem da organização. Portanto, linguagem, comportamento e estilos apropriados são necessários no envio de mensagens eletrônicas. O uso do correio eletrônico é pessoal e intransferível, sendo o usuário responsável por toda mensagem enviada por ele;
O usuário é proibido de praticar quaisquer ações em relação ao
mau uso do e-mail corporativo que possa trazer prejuízo ou má
reputação para a organização;
Os usuários devem utilizar a assinatura padrão da FWC disponível pela área de Comunicação ou RH e está vedado alterar a assinatura padrão de e-mail, sem prévia autorização da organização;
Não está autorizado a configuração da conta de e-mail em qualquer outro meio de acesso que não seja um ativo de tecnologia da informação da FWC, previamente autorizado pela área de TI;
É vedado abrir arquivos anexados a um e-mail a partir de uma fonte desconhecida, suspeita ou não fidedigna principalmente trazendo alguma vantagem, não clique nos links, apague
imediatamente estes anexos, depois “apague-os duplamente”, esvaziando na lixeira do computador e comunique a área de TI. A solução de correio de eletrônico dispõe de filtros que impedem a entrada de diversas mensagens maliciosas (Phishing), mas há probabilidade que eles possam seguir direto para sua caixa de entrada, verifique os seus e-mails com cuidado;
Evite o envio de anexos por e-mail, em especial no caso de informações confidenciais ou dados pessoais. Prefira compartilhar arquivos por meio do One Drive de maneira que o compartilhamento possa ser monitorado e seguro;
É vedado cadastrar o e-mail corporativo em sites, lista ou aplicativos para utilização pessoal, somente cadastre o seu e-mail corporativo quando se tratar de atividades profissionais;
É vedado a utilização do correio eletrônico para prática de atividades ilícitas, desde o envio de spam, qualquer forma de assédio, envio de notícias falsas e qualquer atividade considerada
ilícita de acordo com a legislação brasileira;
O usuário é responsável por apagar imediatamente os materiais indevidos ou impróprios ao ambiente de trabalho sempre que recebê-los em seu e-mail corporativo; Excluir periodicamente e-mails desnecessários da sua caixa de entrada, de Itens Infectados e Lixo Eletrônico;
Sempre que necessário, deve solicitar auxílio sobre segurança na utilização do e-mail corporativo para a área de TI da FWC.
• Impressões, informações em papel e política de mesa e tela limpa
Mesmo com o aumento do trabalho em nuvem, as impressões ainda são relevantes, desta forma deve-se tomar cuidado com os documentos em papel, com atenção para utilizar senhas nas impressoras compartilhadas e evitar deixar suas impressões nas bandejas das impressoras. Da mesma forma os dados em papel devem ser organizados e sempre que possível digitalizados e dispostos em locais seguros;
Os documentos impressos contém informações de propriedade da FWC, algumas dessas informações são consideradas sigilosas. É responsabilidade do colaborador cuidar para que documentos importantes não fiquem expostos e documentos confidenciais sejam devidamente guardados e protegidos para evitar vazamento de informações;
Deve-se guardar em lugar seguro as informações sigilosas, por exemplo, em papel ou em mídia de armazenamento eletrônicas (idealmente em um cofre, armário, gavetas fechadas com chaves
ou outras formas de mobília de segurança) quando não estão em uso, especialmente quando o escritório estiver desocupado;
O usuário não deve jamais, escrever senhas ou informações sigilosas em papel ou documento à vista. Uma senha em papel a vista é uma falha de segurança da informação;
Não será admissível, em nenhuma hipótese, o reaproveitamento de páginas já impressas e contendo informações classificadas como sigilosas, devendo as mesmas ser descartadas;
O usuário da informação deve:
▪ Desligar o equipamento ao final do expediente. Devido a atualização de segurança dos computadores de trabalho.
▪ Bloquear a tela de seu computador sempre que se ausentar de sua mesa, de forma a proteger as informações que tenha acesso. Embora por padrão haja o bloqueio de tela automático quando há inatividade do equipamento por um tempo superior a 10 minutos.
▪ Descartar de forma segura as informações sigilosas, como papel, mídias removíveis etc. Pode-se utilizar triturador de papel para descarte seguro de informações. Para o descarte de mídias removíveis, como HD, DVD, CD e Pen drive deve ser utilizado equipamento específico para esse tipo de descarte. Um chamado deve ser aberto para a área de TI que executará essa atividade.
• Pen Drives e Discos Externos
A utilização de dispositivos externos pessoais no ambiente da FWC (pen drive, HD externo, CD, DVD, dentre outros) é proibida;
O armazenamento e compartilhamento de dados deve ser feito preferencialmente em [Drive da nuvem] ou em diretório na rede corporativa.
• Trabalho em casa
A pandemia tornou realidade o trabalho em casa, desta forma é essencial que cada usuário compatibilize o trabalho com a convivência familiar, mantendo as práticas de segurança da
informação do ambiente do trabalho mesmo fora das instalações da FWC;
É de responsabilidade do usuário garantir a confidencialidade das informações de trabalho durante o seu acesso remoto à rede corporativa. Por isso somente é permitido acesso remoto à rede interna mediante a utilização da ferramenta corporativa de VPN – Virtual Private Network;
Não é recomendada a utilização de rede aberta e compartilhada, como por exemplo rede Wifi de shopping, para realizar o acesso remoto à rede corporativa da FWC.
• Segurança física dos ativos de tecnologia da informação
Além dos ativos de informação, informações, dados pessoais e computadores, o ambiente tecnológico tem crescido com o uso de equipamentos conectados à rede e à internet como por
exemplo câmeras, drones, sensores (temperatura, movimento, etc).
Este documento também se aplica a estes equipamentos, uma vez que eles podem ser um facilitador para acesso indevido aos ativos de tecnologia da informação;
Equipamentos como notebook devem ser protegidos por trava ou cadeado de segurança. A senha e/ou chave do cadeado é de responsabilidade do usuário que a utiliza. Quando não houver trava de segurança, os demais equipamentos devem ser guardados em local seguro, dentro de gavetas ou armários com chave;
Ao transitar com equipamentos portáteis deve-se mantê-los sempre ao alcance da visão, deve-se evitar deixá-los em carros, e não os despachar como bagagem durante viagens;
Os computadores devem ter o seu disco rígido (HD) criptografado e protegido por senha forte para evitar o dano de roubo de informações sigilosas, caso o equipamento seja perdido ou
roubado;
É vedado ao usuário desabilitar ou alterar as configurações de medidas de autoproteção dos ativos de tecnologia da informação que são equipados com tais controles, como, antivírus, firewalls, criptografia e controle de acesso a configurações.
• Compartilhamento e armazenamento de dados
O compartilhamento de dados internamente (entre áreas) devem seguir sempre as orientações de segurança. Quanto à troca de dados com terceiros, esta deve estar prevista em contrato e seguir as orientações de segurança;
É disponibilizado para seus usuários espaço para armazenamento remoto de arquivos na rede interna, através de sua solução corporativa;
É vedado o uso de qualquer outra solução de armazenamento na nuvem, que não seja a oficialmente adotada e homologada pela área de Tecnologia da Informação.
• Direitos autorais
É estritamente proibida a cópia não autorizada de material protegido por direitos autorais, incluindo, mas não limitado a digitalização e distribuição de fotografias de revistas, livros ou
outras fontes protegidas por direitos autorais, e a instalação de qualquer software protegido por direitos autoriais para o qual a organização ou o usuário não tenha uma licença válida;
É vedada a violações dos direitos autorais de qualquer pessoa ou empresa, segredo comercial, patente ou outra propriedade intelectual, ou leis ou regulamentos semelhantes, incluindo, entre
outros, a instalação ou distribuição de produtos de software “pirateados” ou outros produtos de software que não estejam devidamente licenciados para utilização pela FWC.
• Descarte de documentos
O descarte de qualquer material produzido dentro das dependências da FWC deverá ser realizado utilizando trituradores adequados para esse serviço;
Caso seja necessário, um chamado poderá ser aberto para a área de TI para a trituração de mídias removíveis, como pen drive, HD, CD.
• Parceiros de Negócios
As regras de segurança da informação desta Política também devem ser seguidas pelos parceiros de negócios. Antes da autorização de uso eles devem ser submetidos a diligência para
avaliar se suas práticas de segurança são compatíveis com as da Organização e os contratos devem firmar cláusulas de segurança da informação e proteção de dados pessoais;
Todos os parceiros de negócios que de alguma forma utilizarem os ativos de tecnologia da informação da FWC devem estar inventariados e com seus recursos de segurança devidamente
preenchidos, devem também ser registrados os responsáveis por segurança da informação e o encarregado pelo tratamento de dados pessoais;
Os deveres de cuidado, atenção e uso adequado de dados pessoais se estendem a todos os fornecedores da FWC, no desenvolvimento de seus trabalhos e atividades, com comprometimento e respeito às medidas relacionadas à estratégia de privacidade e proteção de dados pessoais;
De acordo com o art. 42 da LGPD, o operador (fornecedor) que, na realização do tratamento de dados pessoais, causar dano a outrem, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.
• Incidente de Segurança da Informação
Os usuários deverão relatar imediatamente para a área de Tecnologia da Informação pelo e-mail chamado@fwc.com.br ou pelo telefone 4024-8860, as ameaças ou incidentes de segurança da informação relacionados ao ambiente de tecnologia da informação (vírus, indisponibilidade de sistemas, invasão. spam, e-mails duvidosos, entre outros). Assim como os relacionados à dados pessoais e sensíveis;
Em caso de roubo ou furto de ativos de tecnologia da informação,
Colaborador deverá abrir um chamado imediatamente para a área de TI, para serem executadas as medidas cabíveis. Será aberto o chamado com o nome de “Notificar Perda ou Roubo”, posteriormente o usuário deverá anexar o boletim de ocorrência policial.
6 – Responsabilidades
Esta Política é associada às seguintes responsabilidades:
• Alta Direção – Diretoria da FWC
Aprovar essa Política;
Prover recursos para a gestão da segurança da informação e cibernética;
Aprovar os desvios e exceções aplicáveis a este documento.
• Área de Tecnologia da Informação
Controlar e gerenciar os ativos de tecnologia da informação; Coordenar as ações e implementar os processos e controles de segurança da informação;
Comunicar as partes interessadas sobre as ações de segurança da informação;
Gerenciar os riscos de segurança da informação;
Elaborar os documentos normativos de segurança da informação;
Tratar os incidentes de segurança da informação e apoiar o tratamento de violação de dados pessoais.
• DPO – Encarregado pelo tratamento dos dados pessoais
Prover a proteção de dados pessoais e sensíveis e garantir a privacidade dos titulares de dados;
Implementar e gerenciar a gestão de violações de dados pessoais apoiando a gestão de incidentes de segurança da informação.
• Recursos Humanos
Apoiar a execução de treinamento de segurança da informação para os colaboradores.
Enviar imediatamente, para a área de TI uma notificação dos colaboradores que mudaram de área internamente ou foram demitidos para que seja realizada a mudança ou retirada de acesso
à rede interna.
• Usuário
Conhecer e cumprir as diretrizes estabelecidas nesta Política e demais documentos normativos, bem como as boas práticas que contribuem para a Segurança da informação.
Notificar a área de Tecnologia da Informação sobre os incidentes de Segurança da informação.
7 – Casos Omissos e Exceções
As diretrizes estabelecidas nesta Política e nos demais documentos normativos de segurança da informação e cibernética, não se esgotam em razão da contínua evolução tecnológica e constante surgimento de novas ameaças. Desta forma, não se constitui rol enumerativo, sendo obrigação do usuário adotar, sempre que possível, outras medidas de segurança além das aqui previstas, com o objetivo de garantir proteção as informações.
Casos omissos, exceções a estas regras ou não detalhados nesta Política devem ser
encaminhados para consulta a alta direção.
8 – Sanções e Penalidades
As violações desta Política, bem como demais normas e procedimentos de segurança da informação pelos colaboradores da FWC serão passíveis de penalidades na forma permitida em lei e conforme a análise da Alta Direção, devendo-se considerar a gravidade da infração, efeito alcançado, recorrência da conduta, observado o disposto no artigo 482 da Consolidação das Leis do Trabalho.
No caso de fornecedores contratados, a Alta Direção analisará a ocorrência e deliberará sobre o cancelamento do contrato e do acesso do infrator às instalações e informações da FWC. além da efetivação das sanções e penalidades conforme termos previstos em contrato e na legislação.
No caso de violação a qualquer item desta Política que caracterize uso indevido da informação ou dos ativos de informação, sujeitam os infratores a medidas disciplinares, que podem incluir a suspensão ou demissão, no caso de colaboradores próprios, e a resolução do contrato, no caso de fornecedores ou parceiros de negócios.
Na aplicação destas medidas, serão consideradas a natureza e a gravidade da infração, observando-se sempre as políticas e regras da FWC cláusulas contratuais e a legislação aplicável.
9 – Documentos de referência
Política de Privacidade e Proteção de Dados Pessoais
Lei 13709/2018 – Lei Geral de Proteção de Dados Pessoais
10 – Atualização
Esta Política poderá ser revisada periodicamente, a fim de que as medidas de segurança da informação estejam sempre atualizadas e adequadas à finalidade de segurança da informação.
11 – Contato
A participação de todos é essencial na garantia do uso seguro dos ativos de tecnologia da informação. Em caso de dúvidas, informações, alertas, sugestões, recomendações ou outros assuntos, os usuários devem entrar em contato a área de Tecnologia da Informação