Introdução
A BIPA Intermediação de Ativos Digitais Ltda ("BIPA" ou "Companhia") reconhece a importância de proteger todos os tipo de Informação de propriedade ou sob a responsabilidade de nossa organização.
Nossas Informações são importantes não apenas para promovermos nossas atividades e viabilizarmos o andamento de nossas operações, como também para protegermos nossa empresa. A utilização indevida de uma Informação pode causar danos irreparáveis, inclusive danos reputacionais perante o mercado. Por isso, a Segurança da Informação é tão importante para nós. Envidamos nossos melhores esforços, empregando profissionais qualificados, melhorando nossos processos e implementando tecnologias que visam assegurar que as Informações detidas pela BIPA estejam seguras.
Esta Política de Segurança da Informação (“Política de Segurança da Informação”, “PSI” ou “Política”) foi elaborada para que nossos Colaboradores e quaisquer terceiros que estejam operando dentro de nossas instalações, utilizando nossos ativos ou apenas circulando em nossas dependências, conheçam as diretrizes de Segurança da Informação da BIPA, nossas recomendações de boas práticas e orientações sobre o cumprimento com as legislações que tratam do tema, inclusive no que se refere à proteção de Dados Pessoais.
A BIPA implementa uma série de políticas, controles e procedimentos de segurança alinhados com as melhores práticas de Segurança da Informação. Da mesma forma, em relação à privacidade e proteção de Dados Pessoais, é importante ressaltar que a BIPA também conta com orientações específicas nesse sentido, a fim de assegurar transparência sobre como os Dados Pessoais coletados pela BIPA são tratados internamente e para quais finalidades nos termos da Lei Geral de Proteção de Dados (Lei n° 13.709/2018 ou “LGPD”) e das orientações e regulamentos da Autoridade Nacional de Proteção de Dados (“ANPD”). Essas políticas são suportadas por uma cultura de educação, treinamento e conscientização sobre a Segurança da Informação e o Tratamento de Dados Pessoais. Nesse sentido, integram esta Política de Segurança da Informação as seguintes políticas, disponíveis em https://bipa.app/ , que devem ser lidas em conjunto com o presente documento:
Público-Alvo
Esta Política é direcionada a todas as pessoas que trabalham na BIPA ou com Informações fornecidas pela BIPA, tais como: nossos empregados, administradores, estagiários, trabalhadores temporários, trabalhadores terceirizados e menores aprendizes, conforme aplicável (todos em conjuntos denominados “Colaboradores” ou “Usuários”) e terceiros da BIPA.
Objetivo
Esta Política de Segurança da Informação tem por objetivo estabelecer as diretrizes de segurança para proteger a informação custodiada, gerada, adquirida, processada, transmitida, armazenada e descartada por qualquer ativo, dos diversos tipos de ameaça, garantindo a continuidade das atividades, a integridade, confidencialidade e disponibilidade das Informações.
Além disso, visa conscientizar todos os Colaboradores e terceiros sobre a segurança e garantir que eles estejam atentos a ela e a considerem durante suas atividades cotidianas.
É importante manter em vista que a Segurança da Informação não se limita a sistemas de computação ou a Informações em formato eletrônico, mas se aplica a Informações em qualquer formato e em qualquer momento de seu ciclo de vida.
Tendo isso em vista, nossos objetivos básicos relativos à Segurança da Informação incluem que toda e qualquer Informação gerada, armazenada, acessada, trafegada, tratada ou processada por recursos e serviços (sejam eles de natureza tecnológica ou não):
Não seja objeto de alterações ao longo de seu processo de Tratamento e esteja sempre adequada à utilização (integridade).
Seja proveniente da fonte anunciada e esteja sempre correta e atualizada (autenticidade).
Seja acessada apenas por aqueles com direito e autorização para tal (confidencialidade).
Seja tratada de acordo com as regras da BIPA e leis aplicáveis (conformidade).
O nível de proteção deve, em qualquer situação, corresponder ao valor de cada Informação e aos prejuízos que poderiam decorrer de seu uso impróprio. Nesse sentido, nós da BIPA temos também como objetivo garantir que as Informações estejam:
Protegidas conforme nossa classificação de criticidade da Informação, considerando a relevância, risco e impacto para nossos negócios (classificação); e
Amparadas pelo emprego de meios tecnológicos e processos adequados à criticidade da Informação, inclusive por cultura corporativa em Segurança da Informação (proteção técnica e organizacional).
Definições
Os termos mencionados nesta Política com iniciais maiúsculas, seja no plural ou no singular, serão entendidos conforme as definições a seguir, a menos que definidos ao longo do documento:
Anonimização: Termo utilizado na Lei Geral de Proteção de Dados Pessoais para se referir à “utilização de meios técnicos razoáveis e disponíveis no momento do Tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo”.
Dados Pessoais: Termo utilizado na LGPD para se referir a qualquer Informação relacionada à pessoa natural identificada ou identificável. Dados Pessoais que sejam divulgados, fornecidos ou acessados pela BIPA devem ser compreendidos como Informação Confidencial.
Dados Pessoais Sensíveis: Termo utilizado na LGPD para se referir aos Dados Pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou dado biométrico, quando vinculado a uma pessoa natural.
Informação: Trata-se de um ativo valioso à BIPA e que, como qualquer outro ativo de nossa organização, requer proteção.
Informações Confidenciais: São Informações que podem ser identificadas por rótulos de confidencialidade ou não e que, caso sejam acessadas por pessoas não autorizadas, inclusive pessoas de dentro de nossa organização, mas que não tenham sido autorizadas a acessá-las, podem afetar negativamente as operações da BIPA, nossos clientes e fornecedores, além de nossa imagem e reputação.
Segurança da Informação: Refere-se ao conjunto de medidas e valores adotados a fim de protegermos as Informações de nossa organização. Nesse sentido, para assegurar a segurança de nossas Informações, nos orientamos, sobretudo, pelos princípios da integridade, disponibilidade, autenticidade e confidencialidade das Informações, além da adoção de outras medidas e princípios que nos ajudem a alcançar esse mesmo fim, tal como o emprego de tecnologia apropriada ao tipo de informação de nosso negócio, 4 incentivo à cultura corporativa em segurança da informação e adoção de critérios de classificação da Informação.
Titular de Dados: Termo utilizado na LGPD para identificar a pessoa natural a quem se referem os Dados Pessoais que são objeto de Tratamento.
Tratamento: Termo utilizado na LGPD para se referir a qualquer operação ou conjunto de operações realizadas com Dados Pessoais ou conjuntos de Dados Pessoais, tais como a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. Para efeitos desta Política, “Tratamento”, “Tratar”, “Tratamos”, “Tratado” ou “Tratados”, terão o mesmo significado.
Classificação da Informação
A BIPA classifica suas Informações e seus sistemas de acordo com a classificação abaixo. Para fins de interpretação das classificações, deverão ser consideradas as definições aplicáveis.
Informações Públicas: As Informações estão disponíveis para o público em geral.
Informações de Uso Interno: As Informações são disponibilizadas a todos os Colaboradores da BIPA.
Informações Restritas: As Informações são disponibilizadas somente a um grupo específico de Colaboradores e/ou terceiros autorizados.
Informações Confidenciais: Informações disponibilizadas somente para pessoas específicas, além de todos os Dados Pessoais.
Informações Estritamente Confidenciais: Informações Confidenciais que, em razão da sua natureza, devem ser protegidas com mais rigor, incluindo: (i) dados estratégicos de faturamento e todos os resultados da BIPA, como balanço e dados fiscais; e (ii) Dados Pessoais Sensíveis.
Informações corporativas e confidenciais
Todos os colaboradores BIPA, ao aceitarem o contrato de trabalho, aderem a cláusula de Confidencialidade e está sujeito a esta e demais Políticas internas da BIPA, sendo da responsabilidade de todos os colaboradores:
Estar ciente de que a BIPA, pela natureza da sua atividade, lida com Informações Confidenciais, próprias ou de terceiros. Toda Informação da BIPA e/ou de seus clientes é considerada sensível e não deve ser divulgada ou exposta, salvo por determinação ou autorização formal da BIPA e/ou de seus clientes.
Acessar apenas Informações, sistemas, redes e documentos necessários à execução de suas atividades e para as quais tenha privilégio autorizado, de acordo com as características da sua atividade na BIPA ou realizada para/ em conjunto com a BIPA. Caso se depare com um documento ou ambiente de acesso restrito ao qual necessite acesso para suas atividades de trabalho, você deve entrar em contato com o Responsável por Tecnologia da Informação na BIPA.
É vedada, em toda e qualquer situação, qualquer tipo de cópia (em qualquer meio) e retransmissão ou impressão, fora dos meios, propósitos e/ou sistemas da BIPA, no intuito de cópia de arquivos da rede, dos bancos de dados e dos sistemas, seja de autoria própria ou de terceiros, bem como de e-mails recebidos e/ou enviados por uma conta de correio eletrônico corporativo, seja ela pessoal ou funcional.
Sempre que for preciso enviar documentos impressos com Informações consideradas confidenciais e/ou sigilosas ou que possam conter Dados, faz-se necessário o uso de envelopes apropriados, lacrados e entregues, sempre que possível, diretamente nas mãos do destinatário final.
Sempre que for compartilhar algum Dado com terceiros, atente-se à forma de compartilhamento, de modo a garantir que todas as medidas técnicas aplicáveis, como criptografia e firewall ou até mesmo a anonimização, foram utilizadas.
Nunca fornecer suas credenciais (login e senha) para terceiros, envidando todos os esforços possíveis para manter o sigilo e a integridade das Informações.
Nunca copiar ou duplicar planilhas ou documentos internos da BIPA, a não ser quando a cópia seja necessária para alguma finalidade específica e justificada de acordo com a legislação aplicável.
Nunca salvar Dados Pessoais ou Informações Confidenciais, em qualquer formato, em pastas públicas ou acessíveis por pessoas além daquelas que devam possuir acesso para fins de atendimento da finalidade.
Não filmar ou fotografar pessoas ou documentos dentro da BIPA, sejam eles digitais ou físicos, sem um propósito específico determinado pela BIPA e ou fora dos limites por ela autorizados.
Sempre proceder com o correto descarte dos documentos contendo Dados Pessoais e Informações Confidenciais, sejam eles físicos ou digitais, de acordo com as orientações e normas de descartes emitidas pela BIPA.
Sempre que for preciso enviar documentos com Informações Confidenciais ou que contenham Dados, faz-se necessária a identificação como Informação Privada e Confidencial.
Responsabilidades
O Responsável por Tecnologia da Informação na BIPA deve (i) monitorar e garantir a aplicação das diretrizes desta Política; e (ii) coordenar as ações de planejamento, gerenciar e apoiar os projetos consonantes com o planejamento estratégico, voltados para as demandas internas, contemplando aquisições, entrega, suporte de bens e serviços e monitoração dos ambientes de tecnologia da informação, garantindo a disponibilidade, performance, eficiência e interatividade entre as unidades de negócios da Companhia.
Os Prestadores de Serviços devem coordenar, orientar e conscientizar seus Colaboradores e terceiros quanto às diretrizes desta Política, normas derivadas e legislações vigentes, mantendo constante vigilância sobre as Informações custodiadas ou de propriedade da Companhia.
Os Colaboradores da BIPA devem (i) obedecer às diretrizes desta Política, mantendo constante vigilância sobre as Informações custodiadas ou de propriedade da Companhia; e (ii) notificar imediatamente o Responsável por Tecnologia da Informação na BIPA sobre qualquer suspeita ou violação desta Política ou normativos correlatos. Além disso, os Colaboradores e terceiros que tenham acesso às Informações da BIPA também devem observar o seguinte:
Toda e qualquer Informação somente deve ser utilizada de acordo com os interesses da BIPA.
O uso de Informações para obter vantagens pessoais ou para terceiros é expressamente vedado.
Não utilizar as Informações obtidas durante a prestação de seus serviços para fins particulares ou qualquer outra finalidade não compatível com as atividades de nossa empresa.
Verificar as políticas de Segurança da Informação e de proteção de Dados periodicamente ou sempre que for comunicada alguma alteração de conteúdo.
Em caso de dúvida, entrar em contato com o Responsável por Tecnologia da Informação na BIPA ou com o Encarregado.
Usar de modo responsável e apropriado os ativos de tecnologia da informação que lhe foram disponibilizados, devendo limitar sua utilização a fins profissionais e seguir as normas estabelecidas nesta Política.
Reportar imediatamente qualquer incidente, ou suspeita de incidente relacionado a possível descumprimento ou falha total ou parcial nos termos definidos nesta Política de Segurança da Informação ao Responsável por Tecnologia da Informação na BIPA e/ou ao Encarregado, nos termos descritos a seguir nesta Política.
Comparecer a todos os treinamentos e eventos de Segurança da Informação e proteção de Dados promovidos por nossa empresa e ler integralmente todos os comunicados enviados.
Responder por suas ações e comportamento e ser responsável pelos eventos que ocorram com suas credenciais digitais (login). Informações de login e senha de acesso que lhe são concedidos são pessoais, sigilosos e intransferíveis. Você não pode revelar ou permitir sua utilização por terceiros.
Quando for responsável pela seleção e contratação de fornecedores ou prestadores de serviços, garantir que todos os contratos executados com tais fornecedores, prestadores de serviços ou terceirizados contenham cláusulas de proteção de Dados e de Confidencialidade no padrão da BIPA.
Cumprir todas as suas obrigações legais relativas à Segurança da Informação e confidencialidade das Informações.
Responsabilidades da Bipa
A BIPA não se responsabiliza por qualquer dano que possa ser causado ao Colaborador ou a terceiros como consequência da utilização de qualquer recurso tecnológico disponibilizado pela BIPA. Você reconhece e concorda que o uso dos recursos tecnológicos oferecidos pela BIPA constitui um privilégio e que nossas políticas internas, que definem a base de utilização, devem ser observadas.
Princípios Gerais para Utilização de Informações
Mantemos um esforço contínuo para proteger toda e qualquer Informação, incluindo os Dados Pessoais, sob o nosso controle e responsabilidade, de acordo com princípios de Segurança da Informação adotados por padrões internacionais e por valores mantidos por nossa empresa. Nesse sentido, são princípios que devem orientar toda e qualquer utilização de Informações realizada pelo Colaborador:
Princípio da necessidade de conhecimento (Need-to-Know): somente devem ter acesso a uma informação aqueles que comprovadamente precisam conhecê-la para condução de suas atividades profissionais e, assim, precisam acessá-las.
Princípio da necessidade de uso: somente devem ter acesso ao(s) recurso(s) de processamento de Informação aqueles que os necessitam para o desempenho de suas atividades profissionais.
Princípio do menor privilégio: todo acesso é proibido a menos que seja expressamente permitido. Isso significa dizer que, se não há nenhuma regra específica de acesso a um determinado ativo informacional para um usuário, a regra básica a ser aplicada é a negação de acesso.
Princípio da adaptação de conteúdo: o conteúdo de suas mensagens deve comunicar apenas o estritamente necessário ao seu público.
Princípio da adaptação dos destinatários: recursos eletrônicos de “listas de distribuição em massa” e de “responder a todos” devem ser utilizados com moderação. É recomendado sempre conferir os destinatários de sua comunicação antes de enviá-la.
Diretrizes de Segurança da Informação
As diretrizes definem, em nível estratégico, a Política de Segurança da Informação da Companhia.
Informação é Patrimônio da BIPA. As Informações custodiadas, geradas, adquiridas, processadas, transmitidas, armazenadas e descartadas sob responsabilidade da BIPA são consideradas parte do seu patrimônio e devem ser protegidas de forma adequada. Os recursos de tecnologia corporativos devem ter um responsável definido e todas as Informações desses recursos são de propriedade da BIPA e podem ser analisadas sem aviso prévio aos usuários.
As Informações da Companhia serão Classificadas. As Informações de propriedade da Companhia devem ser classificadas para indicar a necessidade, prioridades e o nível esperado 9 de proteção quanto ao seu tratamento. Sua classificação será realizada com base nas exigências das atividades da empresa, considerando as implicações que o nível de confidencialidade trará para os seus objetivos. Além disso, as Informações consideradas como Dados Pessoais.
A Segurança é Orientada pelos Requisitos e Objetivos da Companhia. A Companhia poderá estabelecer e manter um Grupo de Gestão de Segurança da Informação, que terá por função principal garantir que as medidas de proteção sejam planejadas e aplicadas de acordo com os objetivos da BIPA, visando proteger sua imagem e credibilidade, considerando os fatores de risco, tecnologias, processos, custos envolvidos e demais regulamentações em vigor.
O Acesso à Informação é Controlado. A autorização, o acesso e o uso da informação e de seus recursos devem ser controlados pelos proprietários e limitados às atribuições necessárias para cumprimento das funções designadas aos Colaboradores e terceiros.
Todos são Responsáveis pela Segurança. Os Colaboradores e terceiros contratados diretamente pela Companhia são responsáveis pela segurança das Informações e processos que estejam sob sua responsabilidade e por todos os atos executados com suas identificações, tais como: crachá, endereço de correio eletrônico e credenciais de acesso, sendo essas, pessoais, intransferíveis e não devem ser compartilhadas. Os Colaboradores e terceiros contratados diretamente pela Companhia devem conhecer e observar esta Política de Segurança da Informação e se certificar que controles pertinentes de segurança sejam aplicados, visando impedir, reduzir ou aceitar os riscos associados as Informações sob sua responsabilidade.
Os Recursos de Tecnologia e as Informações da Companhia devem ser Utilizados Estritamente dentro do seu Propósito. É vedado, a qualquer Colaborador ou terceiro que possui acesso aos recursos de tecnologia corporativos, o uso destes para fins pessoais (próprios ou de terceiros), seja de entretenimento, veiculação de opiniões político-partidárias ou religiosas.
Os Conceitos Básicos de Segurança da Informação são parte Integrante da Educação e Consciência dos Colaboradores e Terceiros Contratados da BIPA. A Política de Segurança da Informação deve ser difundida a todos os Colaboradores, terceiros e a todos que possuem acesso às Informações e aos recursos de tecnologia, por um processo permanente de conscientização de segurança da informação.
Continuidade do Negócio. Devem ser tomadas medidas que promovam a continuidade e a recuperação do fluxo de Informações, considerando a disponibilidade, integridade e confidencialidade requeridas, respeitando os acordos de níveis de serviço para cada recurso de tecnologia corporativo. A especificação ou revisão de recursos de tecnologia deve abranger os requisitos de controle de segurança compatíveis ao valor do negócio e ao dano potencial para os negócios da Companhia.
Análise de Vulnerabilidades. Manter de forma contínua uma metodologia de gestão de riscos que torne possível a identificação de vulnerabilidades, ameaças e impactos sobre os recursos de tecnologia, para a devida análise e tratamento.
Prestadores de Serviço. Os contratos de prestação de serviços por terceiros com acesso aos recursos de tecnologia e Informações corporativas firmados pela Companhia devem conter cláusulas que determinem a observância desta Política e normas correlatas.
Política da Mesa e da Tela Limpa
A Política da Mesa e da Tela Limpa deve ser seguida por todos os Colaboradores da BIPA a fim de evitar o acesso não autorizado às Informações durante e após a execução de suas atividades, de modo a implementar boas práticas e evitar Incidentes de Segurança da Informação.
Manter as Informações armazenadas em local seguro e adequado, com acesso restrito;
Utilizar protetor de tela que solicite uma senha para acesso;
Computadores e impressoras não devem ser deixados autenticados quando não estiverem em uso;
Não deixar papéis, anotações e lembretes em cima da sua mesa de trabalho;
Ao final do dia, certificar-se que seu local de trabalho não possui documentos ou Informações expostos;
Se você não estiver em seu local de trabalho, todas as Informações devem ser removidas de sua tela e seu acesso bloqueado.
Tratamento de Dados Pessoais e Dados Pessoais Sensíveis
De acordo com a LGPD, o Tratamento de Dados deve se dar de acordo com o princípio da finalidade. Com base nesse princípio, é necessário Tratar os Dados para atingir uma finalidade específica, que deverá ser informada ao Titular de Dados. Quando tal finalidade for atingida, em regra, os dados deverão ser eliminados, não podendo haver retenção não justificada de Dados Pessoais ou Dados Pessoais Sensíveis. Tendo isso em vista, é importante observar o ciclo de vida do Dado e da Informação, o qual deverá seguir a seguinte lógica:
Especificamente em relação ao Tratamento de Dados Pessoais e Dados Pessoais Sensíveis (em conjunto “Dados”), existem 10 princípios que norteiam o texto da LGPD e que devem ser respeitados e seguidos por todo e qualquer Colaborador da BIPA:
Adequação: princípio que garante a compatibilidade do Tratamento com as finalidades informadas ao titular, de acordo com o contexto do Tratamento.
Finalidade: princípio que garante a realização do Tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de Tratamento posterior de forma incompatível com essas finalidades.
Livre Acesso: princípio que garante, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do Tratamento, bem como sobre a integralidade de seus Dados.
Necessidade: princípio que garante a limitação do Tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do Tratamento de dados.
Não Discriminação: princípio que garante a impossibilidade de realização do Tratamento para fins discriminatórios ilícitos ou abusivos.
Prevenção: princípio que garante adoção de medidas para prevenir a ocorrência de danos em virtude do Tratamento de Dados.
Qualidade: princípio que garante que os Dados devem ser corretos e totalmente atualizados em relação à finalidade declarada. De modo que, devem ser tomadas medidas apropriadas para corrigir e apagar dados incorretos ou incompletos. Assim que a finalidade específica permitir, e se for necessário o armazenamento contínuo dos dados, os Dados Pessoais devem ser anonimizados ou combinados de tal forma que não possam mais ser rastreados até uma pessoa individual. O anonimato obrigatório ou a combinação de dados não são exigidos se isso implicar em esforço e despesas desproporcionais.
Responsabilização e prestação de contas: princípio que garante a demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de Dados e, inclusive, da eficácia dessas medidas.
Segurança: princípio que garante utilização de medidas técnicas e administrativas aptas a proteger os Dados de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
Transparência: princípio que garante, aos titulares, de Informações claras, precisas e facilmente acessíveis sobre a realização do Tratamento e os respectivos agentes de Tratamento, observados os segredos comercial e industrial.
Ressaltamos que a LGPD prevê que, ainda que os Dados não tenham atingido sua finalidade, os Titulares de Dados poderão solicitar sua eliminação caso sejam desnecessários, excessivos, estejam sendo tratados em desconformidade com o disposto na referida Lei ou caso tenham sido coletados sob a base legal do consentimento.
Caso você tenha quaisquer dúvidas relacionadas ao Tratamento de Dados Pessoais, você pode contactar nosso Encarregado:
E-mail: luiz@bipa.app
Monitoramento dos Recursos Corporativos
A BIPA se reserva o direito, sem necessário aviso ou consulta prévia, no limite do necessário, a monitorar, duplicar, armazenar e registrar (gerar logs) toda utilização dos recursos de tecnologia disponíveis feita pelos Usuários. Isso inclui, mas não se limita, a acesso a e-mail, internet, arquivos, sistemas corporativos etc.
Alteração de Perfil de Acesso
Qualquer solicitação, por parte de um usuário, que envolva uma ou mais alterações de perfil de acesso à rede ou a um serviço ou sistema oferecido por nós, deve ser feita exclusivamente via Responsável por Tecnologia da Informação na BIPA. Após a devida avaliação, caso a solicitação possa ser atendida, você será informado sobre a aprovação da alteração do perfil de acesso.
Incidentes de Segurança
Se você tiver conhecimento de qualquer incidente ou suspeita de atividades em desconformidade com esta Política ou que possam afetar a Segurança da Informação da BIPA, o fato deverá ser reportado por meio do canal suporte@bipa.app. Caso o incidente ou a suspeita envolva Dados Pessoais, o Encarregado da BIPA também deve ser comunicado, imediatamente, por meio do seguinte e-mail: luiz@bipa.app.
De modo geral, todo processo de enfrentamento de uma suspeita ou confirmação da ocorrência de um Incidente de Segurança deve perpassar as 5 (cinco) fases abaixo:
Incidente de Segurança é um evento adverso confirmado que comprometa a confidencialidade, integridade ou disponibilidade de Dados Pessoais. Pode decorrer de ações voluntárias ou acidentais que resultem em divulgação, alteração, perda indevidas ou acessos não autorizados a Dados Pessoais, independentemente do meio em que estão armazenados. Incidentes podem ocorrer de forma acidental, como o envio de Informações para o destinatário incorreto, ou em 14 decorrência de atos intencionais, como a invasão de um sistema de informação ou o furto de um dispositivo de armazenamento de dados.
Os Incidentes de Segurança não se restringem às violações da confidencialidade, abrangem também eventos de perda ou indisponibilidade Dados Pessoais. São exemplos de Incidentes de Segurança o sequestro de dados (ransomware), o acesso não autorizado a Dados Pessoais armazenados em sistemas de informação e a publicação não intencional de Dados Pessoais dos Titulares de Dados.
Nem todo Incidente de Segurança da informação envolve Dados Pessoais. Incidentes que envolvam somente dados anonimizados ou que não estejam relacionados a pessoas naturais identificáveis não precisam ser comunicados à ANPD. A mera existência de uma vulnerabilidade em um sistema de informação não constitui um Incidente de Segurança. A exploração da referida vulnerabilidade, no entanto, pode resultar em um incidente.
Para conhecimento, são exemplos de Incidentes de Segurança da Informação:
A perda ou roubo de documentos ou dispositivos de armazenamento de dados que contenham dados pessoais protegidos por sigilo profissional, cópia de documentos de identificação oficial e dados de contato dos titulares pode expô-los a riscos reputacionais e de sofrer fraudes financeiras.
Tentativas de obter acesso não autorizado a sistemas ou Informações.
Uso não autorizado de sistemas ou de Informações ou facilitação para que terceiros não autorizados obtenham acesso.
Interrupção, por ação mal-intencionada, de sistemas ou banco de dados.
Disseminação de spam, vírus, worms ou qualquer outro tipo de software malicioso.
Qualquer tipo de alteração nas características padrão de um hardware ou software sem autorização, instrução ou conhecimento de seu proprietário.
Roubo de Informações ou dispositivos de armazenamento de Informações, como cartões de memória ou hardware externo.
Perda de documentos, equipamentos ou dispositivos de armazenamento de Informações.
Destruição ou alteração não autorizada de Informações.
Tentativa ou acesso físico em local sem autorização ou credencial.
Caso a ocorrência do Incidente de Segurança (i) tenha sido confirmado pela BIPA; (ii) envolva Dados Pessoais sujeitos à LGPD; e (iii) acarrete risco ou dano relevantes aos Titulares de Dados, a BIPA deverá comunicar a ANPD de acordo com o processo de Comunicação de Incidente de Segurança (“CIS”). Apenas os Incidentes que atendam cumulativamente os requisitos mencionados devem ser comunicados à ANPD. A comunicação de Incidentes de Segurança à ANPD deve ser realizada em até 2 (dois) dias úteis da ciência do fato pelo Encarregado da BIPA via formulário padrão da ANPD, que deve ser protocolado eletronicamente por meio do Peticionamento Eletrônico do SUPER.BR (Sistema Único de Processo Eletrônico em Rede).
Descumprimento desta Política
O descumprimento integral ou parcial dos termos estabelecidos nesta Política, fruto de comportamento deliberado, malicioso ou negligente, pode resultar em suspensão parcial ou total do direito de uso dos recursos tecnológicos disponíveis, além de ações disciplinares e/ou legais. Qualquer suspeita de descumprimento poderá ser investigada pela BIPA e poderá haver aplicação de ação disciplinar, a depender da natureza e gravidade do ocorrido.
Aceitação
Todo colaborador, ao aderir o Contrato de Trabalho, estará sujeita a esta Política e demais políticas internas da BIPA.