POLÍTICA DE PRIVACIDADE
1 - OBJETIVO
A Política de Proteção de Dados Pessoais da HVAR visa garantir a segurança e a conformidade no tratamento de dados pessoais, em alinhamento com as diretrizes da ISO 27001 e ISO 27701 e as regulamentações de privacidade aplicáveis, como a LGPD (Lei Geral de Proteção de Dados do Brasil).
2 - ALCANCE
Esta política se aplica a todos os colaboradores, prestadores de serviços, terceiros e demais partes que tenham acesso aos dados pessoais processados pela HVAR, assegurando a proteção desses dados em todas as etapas de sua utilização.
3 - PRINCÍPIOS DA PROTEÇÃO DE DADOS
A HVAR adota os seguintes princípios para o tratamento de dados pessoais:
- Transparência: Assegurar que todos os titulares de dados compreendam como e por que seus dados estão sendo tratados.
- Minimização de Dados: Coletar apenas os dados necessários para o propósito específico, evitando dados excessivos ou irrelevantes.
- Limitação de Finalidade: Tratar os dados pessoais somente para as finalidades claramente definidas e informadas aos titulares.
- Segurança: Implementar medidas técnicas e organizacionais para proteger os dados contra acesso não autorizado, perda ou alteração.
- Escolha do Local de Armazenamento: Permitir que os clientes escolham se seus dados pessoais devem ser armazenados exclusivamente em território brasileiro ou se podem ser armazenados em outros locais permitidos pela legislação aplicável.
4 - BASES LEGAIS PARA TRATAMENTO DE DADOS
O tratamento de dados pessoais deve sempre se fundamentar em uma base legal adequada, como:
- Consentimento do titular;
- Execução de contrato;
- Cumprimento de obrigação legal ou regulatória;
- Interesses legítimos da HVAR, quando não prevalecerem os direitos e liberdades fundamentais do titular dos dados.
5 - RESPONSABILIDADES
- Diretoria: Aprovar a política e garantir sua implementação em toda a organização.
- Equipe de TI e Segurança: Implementar medidas técnicas e práticas de segurança para proteger os dados pessoais contra riscos.
- Colaboradores: Garantir o cumprimento das diretrizes e reportar qualquer incidente de segurança ou falha.
6 - CONTROLE DE SEGURANÇA E ACESSO
A HVAR utiliza controles rigorosos de acesso e autenticação para proteger dados pessoais, incluindo:
- Autenticação de Dois Fatores (2FA);
- Política de Senhas que assegura senhas fortes e seguras;
- Controle de Acesso com base em Funções (RBAC), assegurando que cada colaborador tenha acesso apenas aos dados necessários para sua função.
7 - RETENÇÃO E DESCARTE DE DADOS
A retenção de dados pessoais será feita apenas pelo tempo necessário para cumprir as finalidades específicas de sua coleta. Após esse período, os dados devem ser eliminados ou anonimizados, conforme práticas seguras de descarte de dados da empresa.
8 - GESTÃO DE INCIDENTES DE SEGURANÇA
Qualquer incidente relacionado à violação de dados pessoais deve ser imediatamente reportado à equipe de TI e à Gestão de Conformidade, que avaliará e adotará as medidas necessárias de contenção e mitigação, além de notificar os titulares e autoridades, se aplicável.
9 - TREINAMENTO E CONSCIENTIZAÇÃO
A HVAR promove treinamentos regulares sobre proteção de dados pessoais e segurança da informação para todos os colaboradores, garantindo que estejam atualizados sobre as melhores práticas e normas vigentes.
10 - REVISÃO E ATUALIZAÇÃO DA POLÍTICA
Esta política será revisada anualmente, ou conforme necessário, para garantir seu alinhamento com os padrões ISO, regulamentações aplicáveis e melhorias nos processos de segurança.
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
1 - INTRODUÇÃO
A política de segurança da informação da tem como objetivo proteger os ativos de informação contra diversas ameaças, garantindo a continuidade dos negócios, minimizando riscos e maximizando o retorno dos investimentos e as oportunidades de negócios. Esta política estabelece diretrizes e responsabilidades para a proteção dos ativos de informação da empresa e está em conformidade com a norma ISO/IEC 27001.
2 - OBJETIVOS
- Confidencialidade: Garantir que a informação seja acessível apenas por pessoas autorizadas.
- Integridade: Salvaguardar a precisão e completude da informação e dos métodos de processamento.
- Disponibilidade: Assegurar que os usuários autorizados obtenham acesso à informação e aos ativos associados sempre que necessário.
- Conformidade: Assegurar o cumprimento das leis, regulamentações e normas aplicáveis.
- Responsabilidade: Definir claramente as responsabilidades dos colaboradores em relação à segurança da informação.
- Conscientização: Promover uma cultura de segurança da informação entre todos os colaboradores.
3 - ESCOPO
Esta política se aplica a todos os funcionários, contratados, parceiros e qualquer pessoa que tenha acesso aos sistemas de informação da HVAR. Isso inclui, mas não se limita a, dados armazenados, processados ou transmitidos em qualquer formato ou meio.
4 - DIRETRIZES GERAIS
4.1 - Classificação da Informação
Todas as informações devem ser classificadas de acordo com sua importância e sensibilidade. As classificações incluem:
- Pública: Informação que pode ser divulgada sem restrições.
- Interna: Informação de uso interno que não deve ser divulgada publicamente.
- Confidencial: Informação sensível que deve ser protegida contra divulgação não autorizada.
- Restrita: Informação altamente sensível com acesso limitado a um pequeno grupo de pessoas.
4.2 - Controle de Acesso
- Autenticação: Utilização de senhas fortes e autenticação multifator (MFA).
- Autorização: Acesso concedido com base no princípio do menor privilégio necessário.
- Gerenciamento de Identidades: Revisão regular dos privilégios de acesso e remoção de acessos desnecessários.
4.3 - Proteção de Dados
- Criptografia: Utilização de criptografia para proteger dados sensíveis em trânsito e em repouso.
- Backup: Realização de backups regulares e armazenamento seguro dos mesmos.
- Descarte Seguro: Procedimentos seguros para descarte de dados e mídias.
4.4 - Gestão de Incidentes
- Detecção: Implementação de sistemas de detecção de intrusão e monitoramento contínuo.
- Resposta: Plano de resposta a incidentes detalhado, incluindo comunicação e ações corretivas.
- Relato: Todos os incidentes devem ser registrados e analisados para evitar recorrências.
4.5 - Treinamento e Conscientização
- Detecção: Implementação de sistemas de detecção de intrusão e monitoramento contínuo.
- Resposta: Plano de resposta a incidentes detalhado, incluindo comunicação e ações corretivas.
- Relato: Todos os incidentes devem ser registrados e analisados para evitar recorrências.
4.6 - Continuidade dos Negócios
- Plano de Continuidade: Desenvolvimento e manutenção de um plano de continuidade de negócios.
- Teste de Planos: Realização de testes regulares dos planos de continuidade e recuperação de desastres.
5 - RESPONSABILIDADES
- Diretoria Executiva: Aprovar e apoiar a implementação da política de segurança da informação.
- Gestão de TI: Implementar controles de segurança, monitorar a conformidade e realizar auditorias regulares.
- Colaboradores: Cumprir a política, participar de treinamentos e reportar quaisquer incidentes ou violações de segurança.
- Equipe de Segurança da Informação: Desenvolver, implementar e revisar políticas e procedimentos de segurança da informação.
6 - CONFORMIDADE
A não conformidade com esta política pode resultar em medidas disciplinares, incluindo demissão, além de possíveis consequências legais. Todos os colaboradores devem estar cientes das políticas e procedimentos de segurança e do impacto da não conformidade.
7 - REVISÃO DA POLÍTICA
Esta política deve ser revisada anualmente ou sempre que houver mudanças significativas nos processos ou no ambiente de TI da empresa. A revisão será conduzida pela equipe de segurança da informação com aprovação da diretoria.
8 - APROVAÇÃO
Esta política é aprovada pela diretoria da HVAR e deve ser comunicada a todos os colaboradores e partes interessadas.
Em caso de dúvidas ou comentários, entre em contato conosco por meio do e-mail: dpo@hvarconsulting.com.br
Atualizado em 05/02/2025.