Política de Segurança da Informação.

Lei Geral de Proteção de Dados Pessoais (“LGPD”).

Constituição da República Federativa do Brasil de 1988– Art. 5ª, X (“CRFB”);

Lei 8078/90 – Código de Defesa do Consumidor (“CDC”);

Lei 12.965/14 e seu Decreto Regulamentador 8771/18 – (“Marco Civil da Internet’).

4. Definições 

Consentimento: consiste na manifestação livre, informada e inequívoca pela qual o Titular concorda com o Tratamento de seus Dados Pessoais para uma finalidade determinada.

Transferência Internacional de Dados: será a transferência de Dados Pessoais para país estrangeiro ou organismo internacional do qual o país seja membro.

Controlador: pessoa natural ou jurídica a quem competem as decisões referentes ao Tratamento de Dados Pessoais (“Controlador”), sozinho ou juntamente a outros Controladores (“Co- Controladores”).

Dados Pessoais: são todas as informações que permitem a sua identificação. Como por exemplo, seu nome, CPF, e-mail, telefone, entre outros.

Dados Pessoais Sensíveis:são dados pessoais relacionados à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculados à Pessoa Física.

Tratamento de Dados Pessoais: significa qualquer operação, como a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração, realizada com dados pessoais.

Incidente de Segurança de Dados: é uma violação de segurança que leva ao acesso, divulgação não autorizada, alteração, perda ou destruição acidental ou ilegal de Dados Pessoais transmitidos, armazenados ou de outra forma tratados.

DPO: Encarregado de Proteção de Dados ou Data Protection Officer (DPO) é a pessoa natural encarregada de supervisionar e dar suporte ao Controlador ou ao Operador em todos os temas relacionados ao tratamento de Dados Pessoais. O DPO desempenha um papel consultivo, ele/ela supervisiona a conformidade à LGPD, pelo Controlador e o Operador, e é a referência e ponto de contato com a Autoridade Nacional e com os Titulares, de acordo com o que está previsto na LGPD e nesta Política.

Titular: se refere à Pessoa natural a quem se referem os Dados Pessoais que são objeto de Tratamento.

Operador: se trata de pessoa natural ou jurídica, de direito público ou privado, que realiza o Tratamento de Dados Pessoais em nome do Controlador. Salvo previsão expressa em sentido contrário, a ÓTIMA atuará na condição de Operador de dados. 

Legítimo Interesse: refere-se a uma das hipóteses autorizadoras para tratar Dados Pessoais (“bases legais”). A rigor, deve ser utilizado de maneira subsidiária às demais bases legais específicas e surge para atender aos interesses legítimos do Controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do Titular que exijam a proteção dos Dados Pessoais.

5. Da Coleta 

Ao compartilhar suas informações em nossos canais, você entende que coletaremos e usaremos suas informações pessoais nas formas descritas nesta Política, sob as normas de Proteção de Dados (LGPD, Lei Federal 13.709/2018), das disposições consumeristas da Lei Federal 8078/1990 e as demais normas do ordenamento jurídico Brasileiro aplicável.

6. Do Uso das Informações 

A Ótima usará e ou coletará suas informações pessoais quando a lei nos permitir fazê-lo, mais comumente suas informações pessoais serão usadas nas seguintes circunstâncias:

•  Para executar o contrato que firmamos com nossos Clientes, Parceiros ou Colaboradores.

•  Para cumprir uma obrigação legal.

•  Para nossos interesses legítimos (ou os de terceiros).

•  Manter registros de emprego e dados de contato precisos e atualizados (incluindo detalhes de quem contatar em caso de emergência) e registros de direitos contratuais e estatuários dos empregados.

•  Operar em manter um registro de processos disciplinares e de reclamação, para garantir uma conduta aceitável dentro do local de trabalho.

•  Operar e manter um registro do desempenho dos colaboradores e processos relacionados, para planejar o desenvolvimento de carreira e para fins de planejamento sucessório e gestão da força de trabalho.

•  Operar e manter um registro de procedimentos de gestão de ausência, para permitir uma gestão efetiva da força de trabalho e garantir que os funcionários estejam recebendo o salário ou outros benefícios a que têm direito.

•  Obter aconselhamento em saúde ocupacional, garantir que cumpra os deveres em relação às pessoas com deficiência, cumprir suas obrigações sobre a lei de saúde e segurança.

•  Operar e manter um registro de outros tipos de licença (incluindo maternidade, paternidade, adoção, licença parental e parental compartilhada), permitir uma gestão efetiva da força de trabalho, garantir que a organização cumpra os deveres em relação ao direito de licença.

•  Garantir a efetiva administração geral de RH e negócios.

•  Fornecer referências a pedido de funcionários atuais ou ex-funcionários.

•  Responder e defender contra a reivindicações legais.

•  Manter e promover a igualdade no local de trabalho.

•  Se precisarmos usar informações pessoais para um propósito não relacionado nesta política, a Ótima irá notificar o Titular (Pessoa Física) e explicar a base legal que nos permite fazê-lo.

•  A Ótima tem o compromisso de proteger os Dados pessoais em consonância com a legislação vigente utilizando nossas Políticas de Segurança da Informação, Política de Segurança Cibernética e nosso Código de Ética.

7. Registros dos Tratamentos de Dados Pessoais 

A LGPD prevê que o Controlador e o Operador devem manter registro das operações de Tratamento que realizarem (“Registro”) de forma independente um do outro. Para garantir o cumprimento da obrigação da LGPD, é primordial que haja um mapeamento dinâmico do Tratamento e seu ciclo de vida.

O conteúdo mínimo do Registro do Controlador deve apresentar:

•  O nome e os dados de contato do Controlador e, quando aplicável, dos Controladores Conjuntos, do representante legal do Controlador e do Encarregado.

•  As finalidades do Tratamento.

•  Descrição das categorias de titulares e das categorias de Dados Pessoais.

•  As categorias de destinatários para os quais os Dados Pessoais foram ou serão divulgados, incluindo destinatários em terceiros países ou organizações internacionais.

•  Quando aplicável, as transferências internacionais de Dados Pessoais para outro país ou uma organização internacional, incluindo a identificação desse outro país ou organização internacional.

•  Sempre que possível, os prazos previstos para o descarte das diferentes categorias de Dados Pessoais.

•  Sempre que possível, uma descrição geral das medidas de segurança referidas no Art. 46 da LGPD.

8. Relatório de Impacto(“DPIA”) 

O Relatório de Impacto à Proteção de Dados Pessoais é a documentação do Controlador que contém a descrição dos processos de Tratamento de Dados Pessoais que podem gerar riscos às liberdades e aos direitos fundamentais dos titulares, bem como medidas, salvaguardas e mecanismos de mitigação de risco.

Assim, o DPIA é um processo destinado a:

•  Descrever o projeto ou o processo de Tratamento de dados e sua finalidade.

•  Avaliar a necessidade e proporcionalidade do Tratamento.

•  Avaliar os riscos dos direitos e liberdades do Titular decorrentes do Tratamento.

•  Determinar as medidas de mitigação, e quando considerado necessário, o DPO deverá apresentar os resultados do DPIA à ANPD.

•  O risco deve ser entendido como um risco de impacto negativo nos direitos e liberdades do Titular.

•  A probabilidade e a gravidade do risco para os direitos e liberdades do Titular devem ser determinadas por referência à natureza, âmbito, contexto e finalidades do Tratamento. O risco deve ser avaliado com base em uma avaliação objetiva, através da qual se estabeleçam se as operações de Tratamento de dados envolvem um risco ou um alto risco.

•  A LGPD não estabelece hipóteses nas quais a elaboração do DPIA é obrigatória, definindo apenas que a ANPD pode determinar sua execução. Dispõe, no entanto, em seu Art. 37 que o Controlador e o Operador devem manter registro das operações de Tratamento que realizarem, especialmente quando baseadas no Legítimo Interesse. Assim, o Controlador e o Operador deverão registrar o Tratamento de forma que seja viável a elaboração do DPIA em todas as situações em que haja Tratamento.

9. Encarregado de Proteger os Dados (DATA PROTECTION OFFICER) 

A LGPD exige que as organizações que realizam o Tratamento de Dados Pessoais nomeiem um Encarregado pelo Tratamento de Dados Pessoais (“DPO”) que deve exercer as atividades previstas no § 2º do Art. 41 da lei.

O DPO é selecionado considerando sua experiência em privacidade e proteção de dados, suas características profissionais, sua habilidade para cumprir as tarefas que lhe sejam atribuídas. O DPO pode ser um funcionário da Ótima ou um terceiro contratado para este serviço.

O Controlador e o Operador devem envolver o DPO em todas as questões relativas à proteção de Dados Pessoais e garantir sua independência na execução das funções, observando que sejam:

•  Garantidos os recursos necessários para executar seus deveres.

•  Assegurando que ele/ela não receba instruções, nem seja penalizado por suas decisões e por seus pareceres.

•  Garantindo que o DPO não atue em situações de conflitos de interesse.

•  O DPO deve manter sua atividade em sigilo e confidencialidade, sendo responsável por garantir que haja o devido atendimento às reclamações e comunicações dos titulares, que sejam prestados os esclarecimentos e adotadas as providências necessárias. Apoiar e aconselhar o Controlador e o Operador em relação às obrigações decorrentes da legislação e regulamentação de proteção de dados, especialmente em relação à LGPD e às normas editadas pela ANPD.

•  Projetar programas de conformidade e monitorar a implementação, definir governança de proteção de dados, avisos de privacidade padrão, cláusulas contratuais e boas práticas.

•  Apoiar o Controlador e o Operador na negociação de contratos de proteção de dados, definir o fluxo de atendimento dos direitos dos titulares e definir e implementar planos de treinamento e conscientização aos colaboradores.

•  Fornecer, se necessário, uma opinião sobre a avaliação do impacto na proteção de dados e monitoramento de progresso.

•  Cooperar e atuar como ponto de referência da ANPD, recebendo comunicações e adotando providências.

•  Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências.

•  Orientar os funcionários e os contratados da Ótima a respeito das práticas a serem tomadas em relação à proteção de Dados Pessoais.

10. Definições quanto ao Controlador e Operador dos Dados  

  Controlador:  

Quando estiver atuando como Controlador, o que se dará excepcionalmente e se previsto expressamente, a Ótima tem o dever de consultar as instruções emitidas pela ANPD e as diretrizes e melhores práticas reconhecidas em matéria de proteção de Dados Pessoais.

O Controlador define a finalidade do Tratamento de Dados Pessoais e deve implementar medidas técnicas e organizacionais apropriadas para assegurar a proteção de Dados Pessoais de acordo com a LGPD.

Neste caso, a Ótima terá ainda o ônus de provar a conformidade com a LGPD e, com o suporte do DPO, deve:

•  Planejar e executar as medidas adequadas de segurança,Privacy by design e Privacy by default, aplicando as melhores práticas e os mais altos padrões de mercado.

•  Treinamento contínuo aos seus próprios empregados e terceiros.

•  Verificar o cumprimento da LGPD nos terceiros que tratam os dados em seu nome.

•  Cooperar com a ANPD nos cursos de suas iniciativas de investigação.

•  Os Controladores, quando Conjuntos, devem determinar de forma transparente, mediante acordo, suas respectivas responsabilidades em relação ao cumprimento das obrigações decorrentes da LGPD, em especial no que diz respeito ao exercício dos direitos pelos titulares.

Operador: 

A Ótima quando estiver atuando como Operador, o que se dará como regra, salvo previsão expressa em sentido contrário, tem o dever de consultar e atender às disposições da LGPD e àquelas eventualmente emitidas pela ANPD acerca de suas responsabilidades enquanto operador.

Quando o Tratamento for executado em nome de um Controlador, poderá se valer de outro operador (Sub-Operador) nas atividades de Tratamento realizadas em nome de um Controlador, salvo restrição específica apresentada pelo Controlador. Neste caso, havendo resistência pelo Controlador, poderá ser tornar inviável para a Ótima a manutenção do contrato, sendo esta causa considerada como justificadora de rescisão contratual.

Ao buscar um Operador para realizar tratamento de Dados em seu nome, a Ótima deve garantir que o Operador siga as instruções e que seja estipulada de forma clara a natureza, a duração e a finalidade do Tratamento, o tipo de Dados Pessoais Tratados, as categorias dos titulares, as obrigações e os direitos do Controlador.

Ao estabelecer um acordo, a Ótima como Controlador (quando for este o caso), deve estabelecer que o Operador:

•  Trate os Dados Pessoais somente em instruções documentadas do Controlador, incluindo com referência a transferência dos Dados Pessoais a um terceiro país ou organização internacional, a não ser que seja obrigado a fazê-lo pela legislação a qual o Operador esteja submetido; nestes casos o Operador deverá informar ao Controlador todos os requerimentos legais antes do Tratamento, a menos que a lei proíba tais informações.

•  Assegure que as pessoas autorizadas a tratar os Dados Pessoais tenham a obrigação contratual ou legal de manter sigilo e confidencialidade.

•  Adote todas as medidas de segurança exigidas nos termos do Art. 46 da LGPD.

•  Respeite as condições estabelecidas pela LGPD para subcontratar outro Operador, com a obrigação de garantir que a transferência internacional de dados para fora do Brasil será executava apenas para países considerados adequados com a legislação de privacidade local, e um documento contratual adequado seja previamente assinado entre o Operador e o Sub-Operador para garantir o os direitos dos titulares.

•  Adote, considerando a natureza do Tratamento, medidas técnicas e organizacionais apropriadas, na medida do possível, que permitam ao Controlador atender as requisições dos titulares no exercício de seus direitos, conforme previstos no Capítulo III da LGPD.

•  Preste assistência ao Controlador para garantir a conformidade com obrigações relacionadas às medidas de Segurança (Capítulo VII da LGPD), Notificação e Comunicação de Incidente de Segurança de Dados (Art. 48 da LGPD) e DPIA (Art. 38 da LGPD).

•  Elimine ou devolva, a critério exclusivo do Controlador, todos os Dados Pessoais ao término da prestação dos serviços relacionados, deletando cópias existentes, a não ser que disposto expressamente em contrário na legislação aplicável para o armazenamento dos Dados Pessoais objeto do respectivo Tratamento.

• Disponibilize ao Controlador todas as informações necessárias para demonstrar o cumprimento das obrigações estabelecidas na LGPD.

11. Controles e Ações exigidas pela Ótima aos Colaboradores e Responsáveis Diretos 

O Controlador tem o dever de consultar e atender às disposições contidas na LGPD e àquelas que venham a ser emitidas pela ANPD acerca das medidas de segurança aplicáveis às atividades de Tratamento.

Considerando as condições existentes, os custos de implementação, a natureza, âmbito, contexto e finalidades do Tratamento, bem como o risco e impacto perante os direitos e liberdades dos titulares, o Controlador e o Operador devem implementar medidas técnicas e organizacionais destinadas a garantir um nível de segurança adequado, incluindo, entre outras, as medidas de Privacy by design (desde a concepção) e Privacy by default (por padrão).

O Controlador e o Operador devem:

•  Rever e proteger todos os sistemas, identificação de aplicações e infraestruturas e acesso lógico.

•  Rever e gerir de forma segura os Dados Pessoais e Dados Pessoais Sensíveis, com o objetivo de garantir uma elevada qualidade de dados e de forma que o Tratamento se limite ao necessário e ao adequado.

•  Segregar os Dados Pessoais e perfilar usuários que lidem com Dados Pessoais, limitando acesso e atribuições de acordo com o estritamente necessário para execução de suas tarefas.

•  Anonimizar e criptografar Dados Pessoais e Dados Pessoais Sensíveis. A escolha entre as 3 (três) opções deve ser a disponível ao Controlador e ao Operador.

•  Assegurar permanentemente a confidencialidade, integridade, disponibilidade e resistência dos sistemas empregados nos tratamentos.

•  Restaurar prontamente o acesso e disponibilidade dos Dados Pessoais em caso de incidentes de segurança.

•  Testar, verificar e avaliar regularmente a eficácia das medidas técnicas e organizacionais para garantir a segurança do Tratamento.

•  Ao avaliar o nível adequado de segurança, devem ser considerados os riscos apresentados pelo Tratamento, particularmente em caso de conduta ilegal ou acidental que leve a destruição, perda, alteração, divulgação não autorizada ou ao acesso do Dado Pessoal transmitido, armazenado ou de outra forma tratado.

• A adesão a um código de conduta aprovado pela ANPD ou a um mecanismo de certificação aprovado em linha com as boas práticas de proteção de dados pode ser utilizado como elementos para demonstrar a conformidade com a LGPD.

12. Direitos dos Titulares 

O direito à privacidade e à proteção de Dados Pessoais devem ser considerados face a outros direitos fundamentais, de acordo com o princípio da proporcionalidade.

O Controlador tem que envidar seus melhores esforços, sem atrasos injustificados, para fornecer ao Titular, com uma interface fácil e prática, para o pleno exercício dos direitos de proteção de dados disciplinados pela LGPD.

O prazo para uma resposta ao pedido do Titular é, para todos os direitos, imediato para respostas em formato simplificado, ou no prazo de até 15 (quinze) dias, contado da data do requerimento do Titular, em caso de resposta clara e completa que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do Tratamento, observados os segredos comercial e industrial, fornecida em formato gratuito e de sua escolha.

A resposta ao pedido do Titular deve ser por escrito ou por meio de ferramentas eletrônicas, e deve ser clara, concisa e transparente.

O Controlador tem o ônus de provar o pedido manifestamente excessivo ou não fundamentado. Além disso, o exercício de direitos é realizado de forma gratuita ao Titular e é responsável do Controlador adotar medidas técnicas e organizacionais para processar o exercício dos direitos do Titular.

São direitos dos Titulares, de acordo com a LGPD:

•  Confirmação da existência de Tratamento.

•  Acesso aos dados.

•  Correção de dados incompletos, inexatos ou desatualizados.

•  Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.

•  Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa.

•  Eliminação dos Dados Pessoais tratados com o Consentimento.

•  Informação sobre entidades públicas e privadas com as quais foi realizado o uso compartilhado de dados.

•  Informação sobre a possibilidade de não fornecimento do consentimento e sobre as consequências da negativa.

•  Revogação do consentimento.

•  Revisão das decisões automatizadas tomadas unicamente com base no Tratamento automatizado de Dados Pessoais.

•  Oposição a Tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto na LGPD.

Confirmação e Direito de Acesso  

O Titular tem o direito de ser informado de que um Tratamento relativo aos seus próprios dados está em andamento e, em caso de resposta afirmativa, obter acesso aos seus Dados Pessoais e receber uma cópia destes.

A confirmação de existência ou o acesso a Dados Pessoais serão providenciados em formato simplificado, imediatamente ou dentro prazo de até 15 (quinze) dias por meio de declaração clara e completa, que indique: a origem dos dados e a finalidade do Tratamento, observados os segredos comercial e industrial, fornecida no, contado da data do requerimento do Titular.

Os Dados Pessoais serão armazenados em formato que favoreça o exercício do direito de acesso. As informações e os Dados Pessoais poderão ser fornecidos, a critério do Titular: por meio eletrônico, seguro e idôneo para esse fim ou sob forma impressa. A cópia dos Dados Pessoais deve ser fornecida ao Titular de forma gratuita.

Direito de Correção 

O Titular tem o direito de obter do Controlador a correção de Dados Pessoais que lhe dizem respeito e que estejam incompletos, inexatos ou desatualizados.

Revogação do Consentimento e Eliminação 

O Titular tem o direito de revogar o Consentimento anteriormente manifestado a qualquer momento mediante manifestação expressa, por procedimento gratuito e facilitado. O Titular também tem o direito de obter a eliminação dos Dados Pessoais tratados com o seu Consentimento.

O Controlador deve eliminá-los considerando a tecnologia disponível e os custos de implementação adotando medidas apropriadas.

Devem ser deletados quaisquer links, cópias ou reproduções de seus Dados Pessoais. Exceções somente poderão ser realizadas na medida em que o Tratamento seja necessário para:

•  Cumprimento de obrigação legal ou regulatória pelo Controlador.

•  Estudo por órgão de pesquisa, garantida, sempre que possível, a Anonimização dos Dados Pessoais.

•  Transferência a terceiro, desde que respeitados os requisitos de Tratamento de dados disposto na LGPD.

•  Uso exclusivo do Controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.

•  O Controlador deve informar outros Controladores envolvidos no mesmo Tratamento de dados sobre a solicitação de eliminação.

Anonimização, bloqueio ou eliminação 

O Titular tem o direito de obter do Controlador a Anonimização, Bloqueio ou Eliminação de Dados Pessoais:

•  Desnecessários.

•  Excessivos, ou tratados em desconformidade com o disposto na LGPD.

•  Desse modo, através da técnica de Anonimização, um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, de modo que ocorra a desvinculação dos Dados Pessoais, não sendo possível identificar quem é o Titular.

•  Por meio do Bloqueio dos Dados Pessoais, ocorrerá a suspensão temporária de qualquer operação de Tratamento, mediante guarda do dado pessoal ou do banco de dados.
•  Já a Eliminação, prevê que um dado ou um conjunto de dados sejam excluídos do banco de dados da organização.

Portabilidade dos dados 

O Titular tem direito a receber de forma estruturada Dados Pessoais fornecidos a um Controlador e tem o direito de transmitir tais dados para outro Controlador, sem interferência do Controlador.

Ao exercer o direito à portabilidade de dados, o Titular tem o direito de obter a transmissão direta de Dados Pessoais, quando tecnicamente viável, de um Controlador ou outro.

Obtenção de informações sobre o compartilhamento de seus Dados

O Titular dos Dados Pessoais tem o direito de ter informações do Controlador sobre as entidades públicas e/ou privadas com as quais os seus Dados Pessoais tenham sido compartilhados.

O Titular dos Dados Pessoais tem o direito de ser informado sobre a possibilidade de não fornecer o seu consentimento bem como sobre as consequências da negativa. Como por exemplo, eventuais prejuízos, limitações de acesso, dentre outras consequências.

 Revisão de Decisões Automatizadas 

O Titular tem direito de solicitar a revisão de decisões tomadas unicamente com base em Tratamento automatizado de Dados Pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.

O Controlador deverá fornecer, sempre que solicitadas, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial.

Em caso de não oferecimento dessas informações baseadas na observância de segredo comercial e industrial, a ANPD poderá realizar auditoria para verificação de aspectos discriminatórios em Tratamento automatizado de Dados Pessoais.

Direito a Oposição quanto ao Tratamento dos Seus Dados 

De acordo com o direito de oposição, o Titular dos Dados Pessoais poderá se opor ao Tratamento de seus Dados Pessoais com fundamento em uma das hipóteses de dispensa de Consentimento quando realizado em descumprimento à LGPD.

13. Encarregado de Proteção de Dados 

A Ótima, disponibiliza os seguintes meios para que você possa entrar em contato conosco para exercer seus diretos de Titular ou caso tenha dúvidas sobre esta Política de Privacidade acione nosso Encarregado de Proteção de Dados Pessoais nos canais a seguir:

• Nosso WebSite https://otima.digital
• Contato do DPO: [email protected]

Fabio Manastarla Ferreira – Encarregado de proteção de dados (Data Protection Officer – DPO)

Versão: 4

Data do documento: 10/09/2022

Política de Segurança da Informação

GLOSSÁRIO

PSI – Política de Segurança da Informação, inclui todas as Políticas envolvendo a comunicação da Empresa.

SI – Segurança da Informação.

GSI – Departamento de Gestão de Segurança da Informação.

CGC – Comitê Gestor de Crise.

Segurança Cibernética – Conjunto de tecnologias, processos e práticas projetados para proteger redes, computadores, sistemas e dados de ataques, danos ou acesso não autorizado, visa proteger somente assuntos relacionados ao digital.

LGPD – Lei Geral de Proteção de Dados Pessoais.

Ativo – Hardware, software ou informação, qualquer elemento que represente valor para a Organização.

Matriz Raci – Matriz que concentra todas as responsabilidades e escopos devem ser definidas e atribuídas, um dos Itens mestres para composição de políticas, pois esta indica ao GSI onde colher, averiguar e validar as informações.

Pentest – O teste de intrusão, também traduzido como “teste de penetração”, é um método que avalia a segurança de um sistema de computador ou de uma rede, simulando um ataque de uma fonte maliciosa.

Vulnerabilidade – Refere-se à incapacidade de resistir aos efeitos de uma ação hostil.

Shadow TI – refere a sistemas de tecnologia da informação implantados por departamentos que não sejam o departamento central de TI, para contornar as deficiências dos sistemas centrais de informação.

1. OBJETIVO

Garantir a disponibilidade, integridade, confidencialidade, legalidade, autenticidade da informação necessária para a realização do negócio da Ótima traçando as diretrizes de Segurança da Informação, praticadas pela Empresa e seus colaboradores. Compõem o número empresarial Ótima as seguintes Empresas: OTIMA DIGITAL LTDA (CNPJ – 34.753.151/0001-32) – MT EXPERT TECNOLOGIA DA INFORMACAO LTDA (CNPJ – 31.160.692/0001-69) – HASH TECHNOLOGY LTDA (CNPJ – 29.175.645/0001-47) – OTIMA TECNOLOGY LTDA (CNPJ – 15.185.990/0001-57) – J.A.S – TELECOMUNICACOES LTDA (12.850.879/0001-40) e outras empresas que se vincularem expressamente ao grupo.

2. INTRODUÇÃO 

A presente Política de Segurança da Informação – PSI está baseada nas recomendações da norma ABNT NBR ISO/IEC 27002:2013, reconhecida mundialmente como um código de prática para a gestão da segurança da informação. A informação é o ativo mais valioso da nossa Empresa, por isso necessita ser adequadamente protegida. Conforme conceito da norma: “Segurança da Informação é a proteção da informação de vários tipos de ameaças e vários níveis para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio” (ABNT NBR ISO/IEC 17799:2005).

3.ABRANGÊNCIA 

Este documento consiste na Política de Segurança da Informação (PSI) da Ótima, que deve ser mantida como uma medida de boas práticas, estabelecendo diretrizes para a proteção de ativos e definição de responsabilidades. Todo seu conteúdo deve ser adotado, cumprido e aplicado em todas as áreas da companhia em conjunto com nosso Código de Ética, que é também parte integrante deste Política. Esta versão pode ser alterada a qualquer momento, suas alterações devem ser aprovadas pela Diretoria e veiculada em nossos canais de comunicação. As informações desta Política são revisadas e atualizadas ao mínimo uma vez ao ano, ou conforme as demandas de Negócio e ou legais se tornem necessárias.

4. ESCOPO DA ÁREA DE TECNOLOGIA E SEGURANÇA DA INFORMAÇÃO 

Garantir a disponibilidade, integridade, confidencialidade, legalidade, autenticidade da informação necessária para a realização do negócio da Empresa, ser o gestor e o apoio do processo de segurança digital, protegendo as informações da organização, catalisando, coordenando, desenvolvendo e/ou implementando ações com o intuito de garantir a todos o acesso e entendimento da necessidade do compromisso da Organização com esse documento.

5. DEVER DOS COLABORADORES DA ÓTIMA 

Considerar a informação como sendo um bem da organização, um dos recursos críticos para a realização do negócio, que possui grande valor para a Ótima e deve sempre ser tratada profissionalmente, bem como se manter alinhado ao nosso Código de Ética, este uma das principais Políticas Internas da Ótima que também tem por função Ambientar nossos Colaboradores em toda sua trajetória no Grupo e Depois de sua passagem também.

6. CLASSIFICAÇÃO DA INFORMAÇÃO 

É de responsabilidade do Gestor de cada área estabelecer a rotulagem da informação que o seu setor manipula, com critérios relativos ao nível de confidencialidade da informação (relatórios e/ou mídias) gerada por sua área de acordo com a tabela abaixo: 6.1 – Pública | 6.2 – Interna | 6.3 – Confidencial | 6.4 – Restrita

CONCEITOS: 

6.1 Pública: É toda informação que pode ser acessada por usuários da organização, clientes, fornecedores, prestadores de serviços e público em geral, cuja divulgação externa não compromete a Empresa. Exemplos de Informação Pública: Agenda de Negócios, Participação em Eventos Política de Segurança da Informação.

6.2 Interna: São as informações disponíveis aos colaboradores da Ótima, para a execução de suas tarefas rotineiras, não se destinando ao público externo, pois seu grau de confidencialidade assim o define. Exemplos de informação Interna: Memorandos, Políticas Internas, Avisos e Campanhas Internas.

6.3 Confidencial: São informações que podem ser acessadas por um número mais restrito de Colaboradores e parceiros da organização. Sua publicação não autorizada pode violar leis vigentes (Ex: LGPD), acordos de confidencialidade, podendo causar impacto (financeiro, de imagem ou operacional) ao negócio da organização ou ao negócio do parceiro. Exemplos de informação Confidencial:  Dados de Funcionários ou Pessoas Físicas identificáveis, Processos Judiciais e todas as informações de contratantes e dos respectivos clientes destes. Toda a informação que não for declarada pública ou interna é CONSIDERADA CONFIDENCIAL. 

6.4 Restrita: É toda informação que pode ser acessada somente por usuários da organização explicitamente indicados pelo nome ou área a que pertencem, em geral, associadas ao interesse estratégico da Empresa. A divulgação não autorizada dessa informação pode causar sérios danos ao negócio e/ou comprometer a estratégia de negócio da organização. Todo Gerente deve orientar seus subordinados que tenham acesso a esse tipo de informação, por necessidade da função exercida, a não circularem informações e/ou mídias consideradas confidenciais e/ou restritas, como também não deixar relatórios nas impressoras, e mídias em locais de fácil acesso, tendo sempre em mente o conceito “mesa limpa”, ou seja, ao terminar o trabalho não deixar nenhum relatório e/ou mídia confidencial e/ou restrito sobre suas mesas.

Exemplos de informação Restrita: Atas de reuniões da Governança, Indicadores e estatísticas dos processos de Negócio, resultados de auditorias Internas.

Fonte do Ativo (informação) → Classificação da Informação → Matriz Raci → Utilização dos Ativos

• Todo documento e dado não classificado é Considerada Informação CONFIDENCIAL. 

7. GESTÃO DA SEGURANÇA DA INFORMAÇÃO 

Sendo a informação o Ativo mais valioso da Corporação, cabe a esta promover orientações aos seus colaboradores e treinamentos em Segurança da Informação, pois ela precisa transitar no cotidiano das atividades da Empresa, tal qual a responsabilidade do ponto eletrônico, pois só os controles digitais não são suficientes para manter um Ambiente Seguro, todos os colaboradores precisam estar envolvidos e participativos no tema em suas atividades rotineiras.

Cabe ao setor de gestão de Segurança da Informação:

– Montar subcomitê de Segurança da Informação Envolvendo outras lideranças da Empresa conforme estratégia adotada junto a Diretoria;

– Propor melhorias e ajustes na PSI;

– Estar sempre alinhado junto ao CGC;

– Analise de investimentos em SI com o intuito de minimizar os riscos Operacionais;

– Apuração, analise e toda governança dos incidentes em Segurança da Informação;

– Apoio na Gestão dos processos em Tecnologia da Informação

– Classificar e reclassificar junto com o Subcomitê de Segurança da Informação os níveis de acesso sempre que necessário.

8. DADOS PESSOAIS E LGPD 

A Ótima tem o compromisso em não acumular ou manter Dados Pessoais Sensíveis a LGPD além daqueles relevantes na condução do seu negócio e que por razões legais a Empresa possui o direito ou obrigação de manter no período necessário da operação. Nossas operações tem um número reduzido de dados Sensíveis, no entanto isso não nos exime do nosso compromisso com nossos Clientes e Parceiros e estar em concordância com a legislação vigente. Todos os Dados armazenados são considerados dados confidenciais e quer estejam em repouso ou não são protegidos por criptografia conforme nossas políticas internas. Todo fluxo e manipulação desses dados, quer seja de Colaboradores Internos ou não, são operados e ou controlados mediante a Termos de Confidencialidade e não Declaração, geralmente disposto em contratos baseados na Lei vigente do País.

A Empresa possui controles e ferramentas para o monitoramento dos Dados pessoais em concordância com a Lei Geral de Proteção de Dados Pessoais.

9. SEGURANÇA CIBERNÉTICA 

A Gerência de TI da Ótima é responsável por estabelecer as políticas, procedimentos e controles em segurança Digital para manter a integridade, disponibilidade e a confidencialidade das informações contidas nos ambientes Corporativos, com o intuito de reduzir impactos e possíveis vulnerabilidades no Ambiente, para evitar a ocorrência de incidentes de Segurança da Informação. Possui como diretrizes básicas:

• Gestão dos Acessos através do Monitoramento do Processo contido na nossa Política de Acessos.
• Assegurar a confidencialidade, integridade e disponibilidade das informações da Organização.
• Garantir que os Ativos (Dados e Informações)  sejam  utilizados  apenas  para  as  finalidades  aprovadas pela Organização, com monitoração, rastreabilidade e auditoria.
• Gestão, Detecção e Tratamento de Vulnerabilidades.
• Pentests Semestrais.
• Prevenção a Ameaças e Ataques Cibernéticos, bem como resposta a ataques cibernéticos.
• Melhoria contínua dos processos e recursos necessários a Política de Segurança da Informação.

10. RESPONSABILIDADES 

Os gestores das Empresas, áreas e Departamentos do Grupo Ótima são responsáveis pelas definições dos direitos de acesso de seus subordinados aos Sistemas de informações das Companhias, cabendo a eles verificar se os mesmos estão acessando exatamente as rotinas compatíveis com as suas respectivas funções. A Empresa possui auditoria das ações dos usuários em seus Sistemas. Esse processo conta com o apoio direto do Departamento de Segurança da Informação, que aguarda o acionamento ou promove revisão anual das liberações. A Diretoria da Ótima é a responsável em viabilizar as condições necessárias para a aplicabilidade das diretrizes desta Política de Segurança da Informação. A área de Gestão de Segurança da Informação é responsável pela atualização das Políticas que compõe este documento. O Comitê de Gestão de Crise é o responsável em fomentar a área de GSI com as Demandas e Compliances de Negócio.

11. SANÇÕES 

O não cumprimento desta Política de Segurança da Informação implica em falta grave e poderá resultar nas seguintes ações: advertência formal, suspensão, rescisão do contrato de trabalho, outra ação disciplinar e/ou processo civil ou criminal. Havendo qualquer omissão de qualquer conduta que possa comprometer em qualquer nível a Empresa ou a lealdade das relações para com a Ótima implicará nas mesmas sanções do descumprimento da nossa Política de Segurança da Informação.

12. GESTÃO DOS PROCESSOS EM TECNOLOGIA DA INFORMAÇÃO 

Uso de Antivírus: Todas as estações de trabalho, dispositivos móveis e Servidores devem ter a solução corporativa do Antivírus instalado. A atualização do antivírus é automática, conforme as Rotinas estabelecidas do Servidor que provê esse Serviço. O usuário não tem permissão para desabilitar o programa antivírus instalado nas estações de trabalho ou notebooks, no entanto caso isso ocorra, o colaborador está sujeito a penalidades descritas no nosso Código de Conduta e Ética.

Uso do Correio Eletrônico (E-MAIL) Corporativo: O correio eletrônico fornecido pela Ótima é um instrumento de comunicação interna e externa para a realização do negócio da empresa. As mensagens devem ser escritas em linguagem profissional, não devem comprometer a imagem da Empresa, não podem ser contrárias à legislação vigente e nem aos princípios éticos da Ótima conforme explicitado em nosso Código de Conduta e Ética. Nossos domínios são hospedados na Azure (Microsoft) que dispões de um robusto sistema de Proteção Cibernética e Compliance Corporativo.

Novos Sistemas, Apps e Equipamentos: O Setor de TI é responsável pela aplicação da Política da Ótima em relação à definição de compra e substituição de “software” e “hardware”. Qualquer necessidade de novos Apps dentro da Corporação ou de novos equipamentos, será validada e homologada pela área de TI com aprovação da Gerência. Não é permitido a compra ou o desenvolvimento de “softwares” ou “hardwares” diretamente pelos usuários. Essa diretiva visa inibir ao máximo Shadow TI.

Internet: O acesso à Internet é autorizado para aos usuários conforme seu perfil,  são acessos aos conteúdos que necessitarem para o desenvolvimento de suas atividades na Empresa. Demais conteúdos são bloqueados por padrão. Há política específica a este controle.

Sistemas de Telecomunicações: O controle de uso, a concessão de permissões e a aplicação de restrições em relação aos ramais telefônicos da Ótima, assim como, o uso de eventuais ramais virtuais instalados nos computadores de responsabilidade do setor de Suporte. Todas as ligações são gravadas. A área de qualidade efetua auditorias constantes com feedback as gerências da Ótima.

Programas e Apps: A Ótima respeita direitos autorais dos programas que utiliza, reconhece que deve pagar o justo valor por eles, é terminantemente proibido o uso de programas ilegais (Sem licenciamento) na Corporação.

Backup: Todos os dados da Ótima são protegidos através de rotinas sistemáticas de Backup. Cópias de segurança do sistema integrado e servidores de rede que são de responsabilidade do Setor Interno, são executadas diariamente e possuem política específica a este fim.

Segurança e Integridade dos Bancos de Dados: O gerenciamento do(s) banco(s) de dados é responsabilidade exclusiva do Setor de Ti, que visa proteger usando as tecnologias digitais disponíveis, mantendo integro e disponível ao negócio com as devidas configurações necessárias ao Funcionamento Seguro.

Admissão e Desligamento de Colaboradores: O setor de Recrutamento e Seleção informa ao setor de Suporte, toda e qualquer movimentação de funcionários, temporários, estagiários ou prestadores de Serviços a área de TI, para que os mesmos possam ser ativados ou desativados no sistema da Companhia e terem os privilégios de Perfil atribuído ao respectivo login de acordo com a função que este exercerá dentro da Ótima. O novo CI, deverá nortear suas ações em consoante com esta PSI e nosso Código de Conduta e Ética.

Propriedade Intelectual: São de propriedade da Ótima, todos os “designs”, criações ou procedimentos desenvolvidos por qualquer funcionário durante o curso de seu vínculo empregatício com a empresa.

Política de Senhas: A senha do Colaborador é pessoal e intransferível que protege a identidade do Colaborador. O uso de dispositivos e/ou senhas de identificação de outra pessoa constitui crime tipificado no Código Penal Brasileiro(art. 307 – falsa Identidade). A Ótima possui politica de senha e esta é aplicada a todos os colaboradores.

Uso de Dispositivos, Notebooks e estações de Trabalho: Tais equipamentos devem permanecer o maior tempo possível disponível aos Colaboradores, para que estes possam exercer suas funções em sua plenitude. Os equipamentos devem conter, antivírus e somente os App’s homologados pela Empresa. Em nosso Código de Ética são descritos os compromissos e responsabilidades dos Colaboradores no tocante a todos os Ativos da Empresa. Caracteriza-se por dispositivo móvel qualquer equipamento eletrônico com atribuições de mobilidade, seja de propriedade da Ótima ou particular com prévia aprovação da Gerência de TI, como: notebooks, smartphones e pendrives. Todos deverão estar de acordo com nossa Política de Acessos.

Utilização da Rede: O acesso a rede interna da Empresa é controlado, estações ou dispositivos não autorizados, não conseguirão fazer uso dos recursos de TI da Empresa. Para visitantes temos uma rede completamente apartada, com Internet disponível e monitorada. O acesso a rede Interna por dispositivos que não pertencem a Ótima, passa por aprovação da Gerencia de TI e homologação pela equipe de Suporte, dispositivos sem antivírus não terão permissão para trafegar na Rede Interna. Toda as ações são monitoradas na rede. A rede de Computadores da Empresa é totalmente segmentada, não há exceções.

13. Disposições Gerais 

As dúvidas decorrentes de fatos não descritos nesta Política, deverão ser encaminhadas à Governança para avaliação e decisão. Esta PSI entra em vigor a partir da data de sua publicação e pode ser alterada a qualquer tempo, por decisão da Diretoria ou pela sua atualização em si, mediante o surgimento de fatos relevantes que apareçam ou não tenham sido contemplados neste documento.

Versão: 10

Data do documento: 10/09/2022

Política de Transferência Internacional de Dados

1 Objetivo