Legal
LGPD

Política de Segurança da Informação

A Softruck leva a segurança muito a sério!

1. Introdução

1.1 A SOFTRUCK BRASIL DESENVOLVIMENTO DE SOFTWARE LTDA (“Softruck”), pessoa jurídica de direito privado, inscrita no CNPJ sob o nº 21.478.520/0001-84, com sede Rua Sergipe, n° 1492, sala 800, Bairro Savassi, CEP 30.130-174, em Belo Horizonte/MG, tem como prioridade a segurança, a integridade, a confidencialidade e a autenticidade das informações, motivo pelo qual firma digitalmente este instrumento, nos termos a seguir.

1.2 Por meio deste instrumento (“Política de Segurança da Informação” ou “Política”), a Softruck direciona o tratamento das informações sob o ponto de vista da Segurança da Informação, nos âmbitos das suas relações.

1.3 Por meio desta Política, a Softruck estabelece um conjunto de boas práticas com os seguintes objetivos:

(i) assegurar privacidade, confidencialidade, autenticidade, integridade e disponibilidade do ciclo de vida da informação;

(ii) orientar comportamentos para o melhor uso dos recursos de proteção das informações e dos dados pessoais tratados pela Softruck;

(iii) estabelecer diretrizes para a proteção contra acessos indevidos, furtos, indisponibilidade, violação de confidencialidade, fraude, perda, acidentes e outras ameaças ou incidentes de segurança;

(iv) determinar as responsabilidades e limites de atuação dos stakeholders em relação à segurança da informação.

2. Público-alvo

Todos os stakeholders da Softruck que venham a ter acesso e/ou tratar informações internamente, durante a sua relação com a empresa, têm a responsabilidade de conhecer, ler e entender esta Política, a fim de garantir o cumprimento adequado das legislações de proteção de dados, privacidade e segurança das informações.

3. Vigência e revisão

Esta Política entra em vigor na data de sua publicação e permanecerá vigente por prazo indeterminado, podendo ser revisada a qualquer tempo.

4. Glossário

A compreensão desta Política depende do entendimento claro e adequado de determinadas expressões, cuja definição consta a seguir:

4.1 Dado pessoal: dado pessoal é toda informação que identifique diretamente uma pessoa natural ou a torne identificável.

4.2 Dado pessoal sensível: os dados pessoais sensíveis são dados mais íntimos que, em razão da sua natureza, exigem uma proteção mais rigorosa. São aqueles dados que dizem respeito à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico.

4.3: Informação: conjunto de dados, textos, imagens, métodos, sistemas, enfim, qualquer forma de representação com significado, sem importar o suporte em que esteja ou seja veiculado (papel, memória do computador, disquete, linha telefônica etc.).

4.4 Incidente de Segurança da Informação: de acordo com a orientação da Autoridade Nacional de Proteção de Dados (ANPD), um incidente de segurança da informação é qualquer evento que leva à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a dados, pessoais ou não, processados, transmitidos ou armazenados pela Softruck. Para fins desta Política, entende-se por incidente qualquer evento que comprometa ou ameace comprometer a confidencialidade, integridade e disponibilidade da informação, incluindo, mas não se limitando a acessos indevidos e/ou não autorizados, uso impróprio dos sistemas e/ou equipamentos da Softruck, ataques externos e/ou internos aos sistemas, vírus e vazamento de informações.

4.5 Tratamento de Dados: nos termos da lei, tratamento é toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

4.6 Encarregado: também conhecido como “DPO”, “Data Protection Officer” ou “Encarregado de dados”. Nos termos da lei, encarregado é a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados. A Softruck nomeia como Encarregado a LIS Empreendedorismo (CNPJ nº 47.202.413/0001-12), cujo contato deve ser feito pelo e-mail privacidade@softruck.com.

4.7 DataProtection: “Lei Geral de Proteção de Dados” (ou “Lei nº 13.709/18”) é a lei federal que regula o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

4.8 Stakeholders: pessoas que, de uma forma ou de outra, apresentam algum nível de interesse nos projetos, atividades e resultados de uma determinada organização, incluindo, mas não se limitando a colaboradores, prestadores de serviços, clientes, parceiros comerciais, fornecedores, investidores, gestores, entre outros.

5. Princípios

Sob o ponto de vista da Segurança da Informação, o cuidado com os dados e informações tratados pela Softruck está baseado nos seguintes princípios:

.
Integridade: assegurar que as informações sejam exatas e completas durante todo seu ciclo de vida.
.
Confidencialidade: assegurar que somente as pessoas autorizadas tenham acesso às informações.
.
Disponibilidade: assegurar que as informações estejam disponíveis sempre que necessário para quem possui acesso.
.
Segurança: fazer uso de medidas técnicas e administrativas aptas a proteger os dados pessoais de eventuais incidentes de segurança.
.
Autenticidade: propriedade de que a informação foi produzida, expedida, modificada ou destruída por uma determinada pessoa física, sistema, órgão ou empresa; garantia de que a informação pode ser confiada, podendo ser possível rastrear a autoria e origem da informação.
.

6. Diretrizes aos Stakeholders

6.1 A Softruck realizou o registro de operações de tratamento de dados pessoais e dados pessoais sensíveis e cumpre com os requisitos legais para tratá-los, sendo certo que nenhum dado pessoal ou dado pessoal sensível poderá ser tratado de forma indevida ou não autorizada, sob pena de incorrer em perdas e danos e nas demais penalidades cabíveis.

6.2 Todos os stakeholders da Softruck devem adotar a prática de manter as informações armazenadas em local seguro, independentemente da sua forma de apresentação, evitando que ela possa ser acessada, lida, copiada, extraviada ou furtada por pessoa não autorizada ou estranha à Softruck.

6.3 O tratamento de dados pessoais e de dados pessoais sensíveis realizado pela Softruck possui como fundamentos (i) o respeito à privacidade; (ii) a autodeterminação informativa; (iii) a liberdade de expressão, de informação, de comunicação e de opinião; (iv) a inviolabilidade da intimidade, honra e da imagem; (v) o desenvolvimento econômico, tecnológico e a inovação; (vi) a livre iniciativa, a livre concorrência e a defesa do consumidor; e (vii) os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

6.4 O uso de equipamentos particulares e dispositivos móveis particulares (tais como: notebooks, tablets, smartphones etc.) para o exercício das atividades relacionadas à Softruck deverá respeitar as orientações de Segurança da Informação aqui especificados, sem prejuízo das previstas nas demais políticas internas e outras que venham a ser determinadas pela Softruck.

6.5 É de responsabilidade do stakeholder proprietário usar somente aplicativos legalizados em seus equipamentos particulares e dispositivos móveis particulares.

6.6 A Softruck respeita os direitos autorais dos softwares utilizados e não autoriza, tampouco consente o uso de softwares não licenciados nos equipamentos da Softruck ou em equipamentos usados para a execução das atividades relacionadas à sociedade.

6.7 Os stakeholders devem assegurar que não executarão ações que possam infringir informações confidenciais, direitos autorais, marcas, licenças de uso ou patentes de terceiros, nem da Softruck.

6.8 Quaisquer informações de domínio da Softruck, ou por ela disponibilizadas, não devem ser utilizadas para fins particulares não acordados entre os stakeholders.

.
6.9 A Softruck recomenda que as senhas dos stakeholders tenham sempre no mínimo de 8 (oito) caracteres alfanuméricos, contendo pelo menos uma letra maiúscula e um caractere especial.
.
6.10 A Softruck indica que as senhas também sejam trocadas a cada 3 (três) meses, não devendo se repetir as senhas definidas nos últimos 12 (doze) meses.

6.11 Todo arquivo obtido pela internet ou recebido de entidade externa a Softruck deve ser verificado por programa antivírus.

.
6.12 A Softruck sugere a adoção de boas práticas de segurança da informação, como: bloquear o acesso ao computador sempre que sair da mesa de trabalho, mesmo que por alguns minutos; manter mesas organizadas e documentos com informações confidenciais trancados ou arquivados, quando não os estiver utilizando.

7. Uso do e-mail corporativo

O e-mail da Softruck é destinado a finalidades profissionais, relacionadas às atividades dos acionistas e stakeholders da empresa.

Por isso, para fins de segurança, não é recomendado ou autorizado que o e-mail corporativo seja utilizado para:

Abrir e executar arquivos com origens desconhecidas; Enviar mensagem que torne Softruck vulnerável a ações civis ou criminais; Enviar mensagens com anúncios particulares, propagandas, vídeos, fotografias, músicas, mensagens do tipo “corrente”, campanhas ou promoções; Criar, enviar ou divulgar mensagem que: vise obter acesso não autorizado a outro computador, servidor ou rede; contenha ameaças, como: spam, malware, phishing etc; objetive burlar qualquer sistema de segurança, vigiar secretamente ou assediar outro usuário; contenha conteúdo considerado impróprio, obsceno ou ilegal; contenha arquivos com código executável (.exe, .cmd, .pif, .js, .hta, .src, cpl, .reg, .dll, .inf) ou qualquer outra extensão que represente um risco à segurança; seja de caráter calunioso, difamatório, degradante, infame, ofensivo, violento, ameaçador, pornográfico entre outros; objetive acessar informações confidenciais sem autorização do proprietário; contenha obra protegida por direitos autorais sem a permissão do titular dos direitos.

8. Gestão de Ativos de Informação

Toda informação manejada pela Softruck deve ser gerenciada adequadamente ao longo de todo seu ciclo de vida, para que esteja disponível para acesso, protegida de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão. Os ativos de informação devem:

ser inventariados e protegidos; ter identificados os seus proprietários e gestores; ter mapeadas as suas ameaças, vulnerabilidades e interdependências; ter a sua entrada e saída do controle da Softruck somente mediante autorização; ser passíveis de monitoramento e ter seu uso investigado quando houver indícios de quebra de segurança, por meio de mecanismos que permitam a rastreabilidade do uso desses ativos; ser regulamentados por norma de procedimentos específicos quanto a sua utilização; ser utilizados estritamente dentro do seu propósito, sendo vedado seu uso para fins particulares ou de terceiros.

9. Armazenamento de Informações

A Softruck mantém as informações coletados somente pelo tempo que for necessário para cumprir com as finalidades dos respectivos tratamentos.

A Softruck reserva-se o direito de manter informações pessoais pelos períodos em que elas são necessárias para: cumprir os propósitos descritos nesta Política; cumprir os prazos determinados ou recomendados por órgãos reguladores, organismos profissionais ou associações; cumprir as leis aplicáveis, detenções legais e outras obrigações legais; cumprir obrigações contratuais; atender a solicitações; e realizar eventual defesa em processo judicial.

Para determinar o período de retenção adequado para os dados pessoais, consideramos a quantidade, a natureza e a sensibilidade dos dados pessoais, a finalidade de processamento e os requisitos legais aplicáveis.

10. Controle de Acessos

A Softruck possui controle de acessos e hierarquia de acessos de modo, de modo que os acessos e uso das informações sejam limitados ao necessário, considerando as atribuições de cada usuário.

Diretrizes específicas e procedimentos próprios de controles de acesso lógico e físico deverão ser estabelecidos em norma complementar, considerando as seguintes diretrizes gerais:

  • O controle de acesso deverá considerar e respeitar o princípio do menor privilégio para configurar as credenciais ou contas de acesso dos usuários aos ativos de informação da Softruck.

  • O acesso à informação deve ser autorizado apenas para os colaboradores que dela necessitem para o desempenho de suas atividades profissionais.

  • Cada colaborador deve acessar apenas as informações ou os sistemas previamente autorizados.

  • A credencial (login e senha) concedida a um colaborador é de uso individual, intransferível e de conhecimento exclusivo.

  • A criação e administração de contas será realizada de acordo com procedimento específico para todo e qualquer usuário. Para o usuário que não exerce funções de administração de rede será privilegiada a criação de uma única conta institucional de acesso, pessoal e intransferível. Contas com perfil de administrador somente serão criadas para usuários cadastrados para execução de tarefas específicas na administração de ativos de informação.

  • O acesso à rede corporativa deve dar-se de forma a permitir a rastreabilidade e a identificação do usuário por período mínimo a ser definido em norma específica.

  • As práticas de segurança deverão contemplar procedimentos de acesso físico a áreas e instalações, gestão de acessos e delimitação de perímetros de segurança.

  • O gestor de cada informação deve determinar a autorização de acesso, incluindo os relacionados ao sistema de gestão empresarial, levando em consideração o sigilo adequado e a necessidade de acesso para cada tipo de público, no cumprimento dos objetivos estratégicos da Softruck.

  • Os recursos corporativos fornecidos, inclusive o correio eletrônico, devem ser utilizados prioritariamente para fins profissionais. Dessa forma, todo e qualquer uso não deve violar leis e normativos competentes, bem como o Código de Conduta Ética da Softruck.

  • Para garantir o cumprimento desta política, a utilização dos recursos corporativos deve ser registrada e monitorada pela Softruck, não devendo o colaborador ter expectativa de sigilo em sua utilização.

11. Medidas de Segurança Implementadas

A Softruck possui ferramentas e serviços que visam promover a segurança da informação, o que inclui as seguintes ferramentas:

Firewall; AntiSpam; Servidor Proxy; Backup das Informações; Política de Senhas; Antivírus; Níveis de restrição de acesso por parte de funcionários; Identificação e verificação de acessos não autorizados; Atualização constante do sistema operacional dos servidores; Manutenção das ferramentas de tecnologias e componentes de programação atualizados; Política Interna de Gestão da Segurança da informação; Orientação de funcionários para prevenção contra vírus e outras medidas acesso indevido; Implementação de Plano de Gestão de Crises e Respostas a incidentes de segurança.

As medidas acima não constituem rol enumerativo, comprometendo-se a Softruck a adotar, sempre que possível, outras medidas de segurança além das previstas neste instrumento, com o objetivo de garantir a proteção das informações e dados pessoais tratados.

12. Stakeholders

Qualquer pessoa que tenha ou venha a ter acesso a informações confidenciais da Softruck deverá estar vinculada a contrato com cláusulas expressas de sigilo e confidencialidade, além de se comprometer a seguir as políticas e normativas de privacidade, proteção de dados e segurança da informação.

13. Responsabilidade

A inobservância às diretrizes estabelecidas nesta Política sujeita o infrator e aqueles que colaborarem com ele às sanções previstas nos contratos pelos quais se vinculam à Softruck, sem prejuízo de outras sanções administrativas, cíveis e penais previstas na legislação brasileira, e responderão pessoalmente pelos eventuais danos e prejuízos causados à Softruck ou terceiros.

Em nenhum momento será admitido a qualquer pessoa invocar o desconhecimento desta Política com o intuito de justificar violações ou falta de cumprimento.

14. Documentos de referência

  • Lei 13.709/2018 - DataProtection.

  • ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 para gestão da privacidade da informação. Requisitos e diretrizes.

  • Guia orientativo de Segurança da Informação para agentes de tratamento de pequeno porte da Autoridade Nacional de Proteção de Dados.

15. Disposições finais

A presente Política deve ser lida e interpretada em conjunto com a legislação e as demais normas internas da Softruck.

Os stakeholders estão cientes de que este documento poderá ser auditado ou alterado pelas áreas de Tecnologia/Gestão da Informação e/ou de Segurança da Informação. Esta Política encontra-se aos cuidados do encarregado e poderá ser solicitada a qualquer te

SLATermos