fbpx

Conformidade e Segurança

A 2CLIX sabe que sua segurança e privacidade são importantes e se preocupa muito com isso.

Finalidade, Escopo e Acesso

O objetivo deste documento é definir os parâmetros e requisitos legais, normativos e contratuais aos quais o Sistema de Gestão da Segurança da Informação da 2CLIX TECNOLOGIA EIRELI deverá seguir.   

Este documento é aplicável a todos os demais documentos, processos e atividades que compõem o SGSI.

O acesso a esta documentação é PÚBLICO.

Leis, Normas e Contratos

Os controles com a Segurança da Informação devem ser baseados coerentes com as exigências dos clientes, das boas práticas definidas em normas e, principalmente, com as leis do setor.

Dessa forma deve ser necessário o cuidado com possíveis atritos entre essas fontes de requisitos no momento de definir políticas, processos ou controles para a Segurança da Informação. O controle utilizado pela organização para definir a prioridade de cada requisito trazidos foi a criação de uma hierarquia entre estes tipos de fonte de requisito elencados a seguir na ordem de maior prioridade à menor prioridade:

  • Leis locais: a organização tem sua sede no Brasil, assim como a maior base de seus clientes e colaboradores, portanto as leis brasileiras devem ser a prioridade quanto aos requisitos de segurança de informação exigidos por elas;
  • Leis internacionais: como a organização possui clientes internacionais que seguem legislações a respeito da segurança de informação e dados é importante levar essas leis em consideração como requisitos para a manutenção da Segurança de Informação;
  • Requisitos Contratuais: a contratação dos nossos serviços muitas vezes vem acompanhado de alinhamentos entre as equipes de segurança tanto do cliente quanto da organização, estes alinhamentos constantemente trazem requisitos de segurança mínimos a serem cumpridos definidos em contrato que devem ser implementados para a manutenção da conformidade das relações cliente-organização;
  • Requisitos Normativos: existem diversas normas de segurança de informação que precisam do cumprimento de vários requisitos de segurança. Estas normas precisam ser seguidas tanto com a intenção de  Certificados quanto para a manutenção de boas práticas na implementação de políticas de Segurança da Informação. No entanto o caráter internacional e generalista de várias dessas normas pode entrar em conflito tanto com as legislações locais quanto com as particularidades contratuais colocando estes requisitos em no ponto mais baixo da hierarquia.

Escopo de Leis e Normas

Há diversas leis nacionais que remetem a segurança da informação em vários nichos, as leis nº 12737, de 30 de novembro de 2012 e nº 14155, de 25 de maio de 2021 tratam dos crimes cibernéticos e suas penalidades. Já a lei nº 12527, de 18 de novembro de 2011 trata do acesso às informações presentes nas instituições públicas pela população.

Para organizações privadas as leis que mais definem requisitos e obrigações quando a segurança da informação de seus clientes são a lei nº 12.965, de 23 de abril de 2014: que institui não somente a definição do que é a internet  perante a lei brasileira, como os direitos e deveres dos cidadãos e instituições quanto ao uso dela, um de seus artigos elaborava os direitos e deveres quanto aos dados pessoais sendo que em 2018 a lei nº 13709 no dia 14 de agosto foi aprovada expandindo o tópico de segurança de dados pessoais, fornecendo tanto mais requisitos e obrigações a serem cumpridas pelas empresas assim como uma definição clara dos direitos dos cidadãos quanto seus próprios dados.

Além dos dados e segurança da informação em geral a organização também precisa seguir legislações correlatas como a lei nº 9.610, de 19 de fevereiro de 1998 que trata dos direitos autorais e lei nº 8.078, de 11 de setembro de 1990, 10.741, de 1º de outubro de 2003 e nº 14.181, de 1º de julho de 2021 que tratam do código de defesa do consumidor.

Internacionalmente temos as leis de privacidade de dados regionais, como, por exemplo, a GDPR (General Data Protection Regulation) da Europa que devem ser obedecidos ou levados em consideração durante expansão internacional dos serviços do Portal da Qualidade. Sendo as leis individuais de cada região e país abordadas conforme a oportunidade de negócios apresentada.

Por fim, como Norma principal à qual esta documentação se baseia está a Norma ISO/IEC 27000 e as normas correlatas, em especial a 27001 e 27002.

LGPD e Proteção de Dados Pessoais

Inventário de Dados

A manutenção e controle dos tipos de dados recebidos pelos clientes e usuários é feito a partir de um inventário de dados. Como há a possibilidade da criação de campos de cadastro personalizados há a possibilidade de campos contendo dados Pessoais ou Sensíveis serem criados ou importados das ferramentas de integração utilizadas pela plataforma. Nesses casos mensalmente uma lista dos campos cadastrais criados é gerada tanto para garantir o conhecimento sobre quais tipos de dados vão estão presentes na plataforma, mas também para validar se os marcadores de criptografia estão implementados corretamente nos campos de cadastro que irão receber dados sensíveis.

Sinalização de Dados Sensíveis

Todos os campos padrão do sistema são no máximo relativos a dados pessoais, como nome ou algum código interno usado pelo cliente, no entanto, campos cadastrais extras podem ser criados pelos usuários, assim como podem ser importados dependendo da integração utilizada. Nestes casos, o controle básico sobre os tipos de dados fica a mercê do conteúdo personalizado pelo usuário.

Para reduzir o risco inerente dessas opções, durante a importação de um conjunto de dados e, consequentemente, a criação de campos de cadastro para comportar estes dados serão todos classificados como “dados sensíveis” e serão criptografados quando armazenados no banco.

Já para os campos criados a partir de personalização manual, o usuário poderá marcar se aquele campo configura um dado sensível ou não. Todo campo criado que não tiver a marcação de “dado sensível” escolhida terá de passar um uma confirmação secundária em que o usuário fará o aceite da ação de criar um novo campo sem a proteção de ‘dado sensível’. 

Todo dado marcado como ‘sensível’ será armazenado criptografado no banco de dados. Adicionalmente, durante a revisão de campos cadastrais no momento do inventário de dados, caso o revisor encontre campos de cadastro que recebem dados sensíveis que não estão marcados como tal, ele poderá abrir uma solicitação para a alteração dos marcadores para garantir a proteção dos dados que foram cadastrados sob este campo.

Criptografia 

A criptografia utilizada no banco de dados é a do tipo Rijndael, enquanto que o backup do banco de dados é criptografado utilizando-se a criptografia de tipo AES-256.

A implementação dessa criptografia é feita durante o processo dos dados selecionados para criptografia e durante o processo de criação do backup.

As chaves são armazenadas em cofre eletrônico, sendo a permissão e credenciais de acesso cedidas somente para o CEO e Diretor da equipe de Administração. As chaves devem ser atualizadas a cada dois anos e os dados criptografados de acordo.

A transmissão dos dados da aplicação para os servidores e, consequentemente para o banco de dados é feita através do uso dos protocolos HTTPS, utilizando-se do protocolo tls 1.2+ para garantir a transmissão criptografada desses dados pela internet até o destino correto.

Aplicação das solicitações do Titular

O titular dos dados pode solicitar seus direitos de acesso aos dados utilizados no Portal da Qualidade, para tal, o titular, ou controlador deve solicitar a ação necessária a partir de um formulário enviado para o DPO ou para o suporte.

Solicitação para a Eliminação de dados em Terceiros

Formulário de Revogação de Consentimento

Formulário de Solicitação de Acesso aos dados pelo Titular (Monitoria)

Formulário de Solicitação de Acesso aos dados pelo Titular (Usuário)

Formulário de Solicitação de Portabilidade de Dados

 

Gestão de Documentos

Este documento é válido a partir da sua aprovação mais recente e é de responsabilidade da equipe de projetos da 2CLIX TECNOLOGIA EIRELI.  O ciclo de atualização deste documento é anual e deve ser realizado sempre a partir da avaliação de eficácia e adequação deste documento com as demais políticas e processos da empresa.

Para garantir uma avaliação concisa e clara, os seguintes critérios de avaliação serão utilizados:

  • Alterações de impacto na legislação, norma ou contratos;
  • Conflito de requisitos causados por priorização incorreta;
  • Incidentes de segurança causados por não conformidades aos requisitos legais, contratuais ou normativos;
  • Redundâncias ou processos repetidos causados por interpretação conflitante dos requisitos.

Os registros de incidentes envolvendo o conteúdo deste documento serão registrados em pasta específica no diretório de documentos da 2CLIX TECNOLOGIA EIRELI.Ú


Voltar ao Índice

30 dias de teste gratuito!

Conheça nossos diferenciais e descubra porque centrais de atendimento do mundo inteiro utilizam a 2clix.
TESTE GRATUITAMENTE
#2clix-se e revolucione a qualidade do seu atendimento