A 2CLIX sabe que sua segurança e privacidade são importantes e se preocupa
muito com isso.
O objetivo deste documento é definir os parâmetros e requisitos legais,
normativos e contratuais aos quais o Sistema de Gestão da Segurança da
Informação da 2CLIX TECNOLOGIA EIRELI deverá seguir.
Este documento é aplicável a todos os demais documentos, processos e
atividades que compõem o SGSI.
O acesso a esta documentação é PÚBLICO.
LEIS, NORMAS E CONTRATOS
Os controles com a Segurança da Informação devem ser baseados coerentes com
as exigências dos clientes, das boas práticas definidas em normas e,
principalmente, com as leis do setor.
Dessa forma deve ser necessário o cuidado com possíveis atritos entre essas
fontes de requisitos no momento de definir políticas, processos ou controles
para a Segurança da Informação. O controle utilizado pela organização para
definir a prioridade de cada requisito trazidos foi a criação de uma
hierarquia entre estes tipos de fonte de requisito elencados a seguir na
ordem de maior prioridade à menor prioridade:
- Leis locais: a organização tem sua sede no Brasil, assim como a maior base
de seus clientes e colaboradores, portanto as leis brasileiras devem ser a
prioridade quanto aos requisitos de segurança de informação exigidos por
elas; - Leis internacionais: como a organização possui clientes internacionais que
seguem legislações a respeito da segurança de informação e dados é
importante levar essas leis em consideração como requisitos para a
manutenção da Segurança de Informação; - Requisitos Contratuais: a contratação dos nossos serviços muitas vezes vem
acompanhado de alinhamentos entre as equipes de segurança tanto do cliente
quanto da organização, estes alinhamentos constantemente trazem requisitos
de segurança mínimos a serem cumpridos definidos em contrato que devem ser
implementados para a manutenção da conformidade das relações
cliente-organização; - Requisitos Normativos: existem diversas normas de segurança de informação
que precisam do cumprimento de vários requisitos de segurança. Estas
normas precisam ser seguidas tanto com a intenção de Certificados
quanto para a manutenção de boas práticas na implementação de políticas de
Segurança da Informação. No entanto o caráter internacional e generalista
de várias dessas normas pode entrar em conflito tanto com as legislações
locais quanto com as particularidades contratuais colocando estes
requisitos em no ponto mais baixo da hierarquia.
Escopo de Leis e Normas
Há diversas leis nacionais que remetem a segurança da informação em vários
nichos, as leis nº 12737, de 30 de novembro de 2012 e nº 14155, de 25 de
maio de 2021 tratam dos crimes cibernéticos e suas penalidades. Já a lei nº
12527, de 18 de novembro de 2011 trata do acesso às informações presentes
nas instituições públicas pela população.
Para organizações privadas as leis que mais definem requisitos e obrigações
quando a segurança da informação de seus clientes são a lei nº 12.965, de 23
de abril de 2014: que institui não somente a definição do que é a internet
perante a lei brasileira, como os direitos e deveres dos cidadãos e
instituições quanto ao uso dela, um de seus artigos elaborava os direitos e
deveres quanto aos dados pessoais sendo que em 2018 a lei nº 13709 no dia 14
de agosto foi aprovada expandindo o tópico de segurança de dados pessoais,
fornecendo tanto mais requisitos e obrigações a serem cumpridas pelas
empresas assim como uma definição clara dos direitos dos cidadãos quanto
seus próprios dados.
Além dos dados e segurança da informação em geral a organização também
precisa seguir legislações correlatas como a lei nº 9.610, de 19 de
fevereiro de 1998 que trata dos direitos autorais e lei nº 8.078, de 11 de
setembro de 1990, 10.741, de 1º de outubro de 2003 e nº 14.181, de 1º de
julho de 2021 que tratam do código de defesa do consumidor.
Internacionalmente temos as leis de privacidade de dados regionais, como,
por exemplo, a GDPR (General Data Protection Regulation) da Europa que devem
ser obedecidos ou levados em consideração durante expansão internacional dos
serviços do Portal da Qualidade. Sendo as leis individuais de cada região e
país abordadas conforme a oportunidade de negócios apresentada.
Por fim, como Norma principal à qual esta documentação se baseia está a
Norma ISO/IEC 27000 e as normas correlatas, em especial a 27001 e 27002.
LGPD E PROTEÇÃO DE DADOS PESSOAIS
Inventário de Dados
A manutenção e controle dos tipos de dados recebidos pelos clientes e
usuários é feito a partir de um inventário de dados. Como há a possibilidade
da criação de campos de cadastro personalizados há a possibilidade de campos
contendo dados Pessoais ou Sensíveis serem criados ou importados das
ferramentas de integração utilizadas pela plataforma. Nesses casos
mensalmente uma lista dos campos cadastrais criados é gerada tanto para
garantir o conhecimento sobre quais tipos de dados vão estão presentes na
plataforma, mas também para validar se os marcadores de criptografia estão
implementados corretamente nos campos de cadastro que irão receber dados
sensíveis.
Sinalização de Dados Sensíveis
Todos os campos padrão do sistema são no máximo relativos a dados pessoais,
como nome ou algum código interno usado pelo cliente, no entanto, campos
cadastrais extras podem ser criados pelos usuários, assim como podem ser
importados dependendo da integração utilizada. Nestes casos, o controle
básico sobre os tipos de dados fica a mercê do conteúdo personalizado pelo
usuário.
Para reduzir o risco inerente dessas opções, durante a importação de um
conjunto de dados e, consequentemente, a criação de campos de cadastro para
comportar estes dados serão todos classificados como “dados sensíveis” e
serão criptografados quando armazenados no banco.
Já para os campos criados a partir de personalização manual, o usuário
poderá marcar se aquele campo configura um dado sensível ou não. Todo campo
criado que não tiver a marcação de “dado sensível” escolhida terá de passar
um uma confirmação secundária em que o usuário fará o aceite da ação de
criar um novo campo sem a proteção de ‘dado sensível’.
Todo dado marcado como ‘sensível’ será armazenado criptografado no banco de
dados. Adicionalmente, durante a revisão de campos cadastrais no momento do
inventário de dados, caso o revisor encontre campos de cadastro que recebem
dados sensíveis que não estão marcados como tal, ele poderá abrir uma
solicitação para a alteração dos marcadores para garantir a proteção dos
dados que foram cadastrados sob este campo.
Criptografia
A criptografia utilizada no banco de dados é a do tipo Rijndael, enquanto
que o backup do banco de dados é criptografado utilizando-se a criptografia
de tipo AES-256.
A implementação dessa criptografia é feita durante o processo dos dados
selecionados para criptografia e durante o processo de criação do backup.
As chaves são armazenadas em cofre eletrônico, sendo a permissão e
credenciais de acesso cedidas somente para o CEO e Diretor da equipe de
Administração. As chaves devem ser atualizadas a cada dois anos e os dados
criptografados de acordo.
A transmissão dos dados da aplicação para os servidores e, consequentemente
para o banco de dados é feita através do uso dos protocolos HTTPS,
utilizando-se do protocolo tls 1.2+ para garantir a transmissão
criptografada desses dados pela internet até o destino correto.
Aplicação das solicitações do Titular
O titular dos dados pode solicitar seus direitos de acesso aos dados
utilizados no Portal da Qualidade, para tal, o titular, ou controlador deve
solicitar a ação necessária a partir de um formulário enviado para o DPO ou
para o suporte.
Link para preenchimento.
GESTÃO DE DOCUMENTOS
Este documento é válido a partir da sua aprovação mais recente e é de
responsabilidade da equipe de projetos da 2CLIX TECNOLOGIA EIRELI. O
ciclo de atualização deste documento é anual e deve ser realizado sempre a
partir da avaliação de eficácia e adequação deste documento com as demais
políticas e processos da empresa.
Para garantir uma avaliação concisa e clara, os seguintes critérios de
avaliação serão utilizados:
- Alterações de impacto na legislação, norma ou contratos;
- Conflito de requisitos causados por priorização incorreta;
- Incidentes de segurança causados por não conformidades aos requisitos
legais, contratuais ou normativos; - Redundâncias ou processos repetidos causados por interpretação conflitante
dos requisitos.
Os registros de incidentes envolvendo o conteúdo deste documento serão
registrados em pasta específica no diretório de documentos da 2CLIX
TECNOLOGIA EIRELI.
