Cartilha de Segurança e Proteção de Dados

CARTILHA DE SEGURANÇA E PROTEÇÃO DE DADOS

Capítulo I - Das Regras Gerais

Regra 1 - Não divulgue informações pessoais

O Operador de dados está proibido de revelar, reproduzir, copiar, repassar, vender, alugar, comercializar, dar, doar, divulgar, distribuir, utilizar e/ou dar conhecimento, em hipótese alguma, a terceiros ou em proveito próprio ou alheio, dados pessoais, dados sensíveis, ou quaisquer outros materiais obtidos com ou sem sua participação, sem a expressa autorização do Controlador.

Importante:

• Não salve informações pessoais em computadores e aparelhos não seguros ou de uso comum;
• Opte pela troca de mensagens através da ferramenta disponibilizada pelo empregador (central de serviços) e/ou por e-mail corporativo, e sempre que possível envie a mensagem criptografada;
• Caso precise realmente passar informações/dados em ligações telefônicas, sempre confirme estar falando com contatos oficiais;
• Em caso de dúvidas, não divulgue qualquer informação e procure o Encarregado LGPD.

Regra 2 - Não clique em links suspeitos

Cuidado ao clicar em links desconhecidos, pois eles podem nos levar a sites falsos ou infectar seu dispositivo, ou seja, com apenas um clique podemos estar liberando aos criminosos o acesso a todas as informações armazenadas na máquina.

Importante:

Links falsos são facilmente criados e podem ser enviados de diversas plataformas e aplicativos. Portanto, se você não conhece ou desconfia de um link, não clique.

Regra 3 - Crie senhas fortes

As senhas são uma excelente forma de proteger suas informações, mas para isso é preciso criar senhas fortes. Nada de usar datas de aniversário, nomes e outras informações que podem ser facilmente descobertas pelos criminosos cibernéticos.

Importante:

• Crie senhas aleatórias, utilizando letras, números e caracteres especiais;
• Ao escolher sua senha, escolha um número ímpar;
• Não esqueça de trocar sua senha a cada 30 dias.

Regra 4 - Atenção com e-mails, mensagens não solicitadas e uso de rede corporativa

Antes de responder uma solicitação, clicar no link ou realizar um pagamento, verifique se você solicitou o serviço ou o contato em questão e se conhece o remetente da mensagem.
Por exemplo, você tem algum vínculo com o banco que está constantemente mandando e-mails para você? Esse é um tipo muito comum de tentativa de ataque cibernético, por isso, atenção sempre.

Regra 4.1 Jamais use o e-mail corporativo para fazer cadastro em qualquer site. Isso pode trazer risco à continuidade dos negócios da empresa e à privacidade de terceiros.

Regra 4.2 Sempre que possível a troca de mensagens com informações confidenciais ou que possuem dados pessoais e/ou sensíveis devem ser criptografadas.

Regra 5 - Cuidado com os downloads

Baixar arquivos da internet é algo comum no nosso cotidiano, no entanto, é preciso cuidado com as fontes desses arquivos e os sites onde estão localizados.

O download de um arquivo mal-intencionado pode dar acesso aos criminosos, apagar informações e causar muitos prejuízos.

Para evitar tudo isso, verifique a procedência dos arquivos antes de fazer download e respeite os avisos do seu antivírus sobre possíveis ameaças.

Na dúvida, consulte o Encarregado LGPD.

Regra 6 - Mantenha sistemas e aplicativos atualizados

Sistemas operacionais não são tao vulneráveis. Os criminosos se aproveitam e exploram pequenas vulnerabilidades encontradas.

No entanto, as empresas costumam resolver essas vulnerabilidades muito rapidamente e justamente por isso é tão importante você manter seus sistemas sempre atualizados, de preferência de forma automática.

O mesmo vale para os aplicativos. É muito importante que você mantenha os aplicativos instalados nos seus dispositivos sempre atualizados, não importa se você utiliza a aplicação diariamente ou poucas vezes. A falta de atualização pode abrir brechas e facilitar os ataques criminosos.

Regra 7 - Não abra anexos desconhecidos

Aqui vale a mesma regra dos links e downloads, você conhece a fonte ou quem está enviando os anexos para o seu e-mail? Se a resposta for não, é melhor não abrir o anexo e verificar a procedência antes de tomar qualquer ação.

Atenção também com algumas extensões que podem indicar arquivos maliciosos como .exe, .bat, .rar e .zip.

Regra 8 - Faça Backup dos seus arquivos

A intenção de todas essas dicas é que você não caia em nenhum golpe ou tentativa de golpe, mas novos tipos de ataque surgem diariamente, por isso, é importante que você se proteja de todas as maneiras possíveis. Mantenha seus arquivos e informações no SharePoint (OneDrive Business) que é um local seguro e haverá backup atualizado pela empresa.

Regra 9 - Plano de Ação

O Operador deve manter uma cópia atualizada do Plano de Ação, e cumprir as ações nele previstas e nos prazos nele estabelecidos.

Sempre que uma nova fase do Plano de Ação for concluída, o Encarregado circulará a notícia entre todos os Operadores, assim como deverá circular também as ações a serem praticadas nas próximas etapas.

Regra 10 - Na dúvida, fale com um profissional de T.I.

Se você recebeu um e-mail, mensagem, clicou em um link ou baixou um arquivo que desconfia ser prejudicial, fale com um profissional de tecnologia ou especialista em cibersegurança indicado pelo Encarregado.

Capítulo II - Dos Dados

Regra 11 - Coleta de Dados

Sempre que um dado for colhido, o Operador deve se perguntar:

- Preciso deste dado?

- Posso tratá-lo?

- Tenho consentimento?

Se uma das respostas for não, o Encarregado deve ser acionado imediatamente.

Regra 12 - Titulares

Quanto aos titulares, o banco de dados deve ser mantido sempre atualizado e organizado da seguinte forma:

a) Titulares Maiores;

b) Titulares Menores.

Regra 13 - Tipo de dados

Quanto ao tipo de dados, o banco de dados deve ser mantido sempre atualizado e organizado da seguinte forma:

a) Dados Pessoais;

b) Dados Sensíveis.

Regra 14 - Dados físicos

Quando forem apresentados dados físicos (cópias de documentos), após a inclusão em ferramenta eletrônica os mesmos devem ser devolvidos ao cliente ou destruídos imediatamente, usando fragmentadora.

Regra 15 - Dados eletrônicos

Quando forem apresentados dados eletrônicos, após exportação para ferramenta o e-mail deve ser excluído, e uma mensagem eletrônica deve ser enviada para o remetente.

Regra 16 - Manutenção dos dados

Nos casos em que as informações devem ser mantidas por determinação legal, as informações necessárias (apenas as necessárias) devem ser criptografadas ou pseudoanonimizadas.

Capítulo III - Do consentimento e termos

Regra 17 - Compartilhamento de dados

Lembre que o VANIN CONTADORES ASSOCIADOS LTDA. é um compartilhador, portanto todos os dados que forem apresentados precisam ter:

a) Termos de Consentimento do Titular, ou;

b) Termo de Notificação.

Regra 18 - Revogação

Quando o titular revogar o consentimento, o Controlador deve ser avisado e o tratamento deve ser suspenso imediatamente.

Capítulo IV - Do Mapeamento de Dados

Regra 19 - Mapear dados

O Mapeamento de Dados é um dos documentos mais importante trazidos pela LGPD. Mantê-lo atualizado é um dever, sempre supervisionado pelo Encarregado LGPD.

Regra 19.1 Cabe ao profissional de T.I., sempre que possível, viabilizar que esta atualização seja feita eletronicamente.

Capítulo V - Dos Computadores, Servidores e Arquivo Morto

Regra 20 - Protetor de tela
Em qualquer caso em que seja necessário se distanciar do computador que estiver trabalhando, o Operador deve utilizar um protetor de tela para que o conteúdo não seja exposto.

Regra 21 - Servidor

O Servidor usado para armazenamento, em hipótese alguma deve ficar em lugar onde tenha circulação de pessoas, tais como cozinha, banheiro, ou sala de uso comum. O esforço deve ser no sentido de deixá-lo numa sala trancada sob a vigilância do Encarregado de dados.

Regra 22 - Necessidade

Todas as informações/dados, somente poderão ser coletadas se houver necessidade imposta por Lei. Após atingir a finalidade, os dados devem ser eliminados.

Capítulo VI - Dos Cuidados Adicionais

Regra 23 - Controle de acesso

Por uma questão de segurança e de produtividade, os acessos a redes sociais, sites de vendas, sites de vídeos, sites de games, dentre outros, estão proibidos.

Regra 23.1 Por uma questão de segurança, está proibido fazer download de qualquer Aplicativo/Software gratuito, sem autorização expressa do Encarregado LGPD.

Regra 23.2 Nosso sistema bloqueará qualquer tentativa de acesso a sites não autorizados pela direção.

Regra 23.3 Somente o Encarregado LGPD está autorizado a fornecer a senha da rede sem fio para visitantes e/ou qualquer pessoa que solicitar.

Regra 24 - Data Center - Servidor - Local

O acesso ao local físico escolhido para receber o banco de dados da empresa deve ser evitado. Nas situações em que este acesso seja indispensável, o Encarregado LGPD deverá ser comunicado, e se possível, acompanhar quem estiver adentrando.

Regra 25 - Chaves da sala

Os setores da empresa (que tem salas próprias), deverão ser trancados durante os intervalos legais, e no final do expediente.

Importante: As chaves deverão ser confiadas ao Encarregado LGPD.

Regra 26 - Gavetas e outros móveis

As gavetas e outros móveis que possuem chave de segurança, deverão ser trancados durante os intervalos legais, e no final do expediente.

Importante: As chaves deverão ser confiadas ao Encarregado LGPD.

Regra 27 - Logs

Todas as ações realizadas pelo usuário dentro da rede corporativa, ficarão registradas e serão analisadas pelo Encarregado LGPD.

Regra 28 - Uso de Pen Drive

Está proibido o uso de Pen Drive, HD Externos e /ou qualquer outro dispositivo móvel na rede corporativa sem a expressa autorização do Encarregado LGPD.

Regra 29 - Uso de celulares

Está proibido o uso de celular, smartphone e qualquer outro aparelho particular dentro da empresa. Ao adentrar na empresa, estes aparelhos deverão ser mantidos na bolsa ou gavetas.

Importante: Nos casos em que o uso seja indispensável, o Encarregado LGPD indicará o local apropriado.

Regra 30 - Achados e Perdidos

Qualquer documento, rascunho, anotações etc. que contenham dados/informações, se forem encontrados devem ser entregues ao Encarregado LGPD imediatamente.

Regra 31 - Rascunhos

Para preservar a privacidade e a segurança de dados, quaisquer anotações de dados ou cópias de documentos deve ser trituradas, estando proibido a utilização destes papéis como rascunho.

Capítulo VII - Dos Treinamentos e Palestras de Conscientização

Regra 32 - Capacitação

É obrigatória a participação nas ações de conscientização promovidas pela Empresa Contábil. Estas ações serão realizadas em horário de trabalho, e, na impossibilidade de comparecimento a ausência deverá ser justificada.

Capítulo VIII - Do Vazamento de Dados

Regra 33 - Indícios de Vazamentos de Dados

É importante lembrar que qualquer indício de ameaça sofrida em um computador corporativo, pode ser um possível ataque, e dependendo do caso, se chegar até o servidor da empresa pode causar enormes prejuízos.

Por isso, qualquer indício de desconfiança a obrigação de todos os usuários é comunicar o Encarregado LGPD para que o mesmo possa seguir as regras previstas na Política de Resposta à Incidente de Segurança.

Regra 33.1 A Política de Resposta à Incidente de Segurança está disponível no site da empresa, e deve ser conhecida e praticada por todos que trabalham nesta empresa.

Capítulo IX - Do Descumprimento desta Cartilha de Segurança e Proteção de Dados

Regra 34 - Penalidades

O infrator que não observar quaisquer das regras previstas nesta cartilha sofrerá penalidades administrativas, como advertência, suspensão e justa causa e havendo qualquer dano ao empregador e/ou a qualquer titular, responderá subsidiariamente nas ações em que forem discutidos danos morais e/ou pessoais pelos titulares dos dados.

Como nos contatar

Estamos a disposição para esclarecer, prontamente, dúvidas a respeito desta Cartilha.

Encarregado LGPD: TIAGO SCATOLIN

Contato: lgpd@vanin.com

Última alteração: 11/01/2022.