1. Sobre a Política de Privacidade da Oito
A Política de Privacidade é o documento que normatiza as regras de proteção de dados na OITO.
Trata-se de uma diretriz de alto nível que exige a implementação de controles e processos em todas as áreas da empresa.
A presente está baseada nas recomendações propostas pela norma ABNT NBR ISO/IEC 27002:2013, reconhecida mundialmente como um código de prática para a gestão da Segurança da Informação, bem como com as leis vigentes em nosso país.
Este documento encontra-se disponível na intranet e no site institucional da OITO.
2. Objetivos da Política de Privacidade
Estabelecer diretrizes e normas que permitam a OITO seguir padrões de comportamento desejáveis e aceitáveis de acordo com a legalidade e boas práticas mundiais, a fim de mitigar riscos técnicos e jurídicos.
Nortear a definição de procedimentos específicos de Segurança da Informação, bem como a implementação de controles e processos para atendimento dos requisitos da mesma.
Preservar as informações que transitam pela OITO quanto à confidencialidade, integridade e disponibilidade.
Prevenir possíveis causas de incidentes e responsabilidade legal da empresa e seus colaboradores internos, externos e parceiros.
Minimizar os riscos de perdas financeiras, de participação no mercado, da confiança de consumidores e parceiros ou de qualquer outro impacto negativo no negócio da OITO resultante de uma falha de segurança.
3. Aplicação da Política de Privacidade
Todas as normas aqui estabelecidas deverão ser aplicadas em toda a empresa e seguidas por todos os colaboradores e terceiros, no que se refere à proteção da informação e ao uso de recursos tecnológicos.
Esta política compromete e responsabiliza cada um, estando todos cientes de sua
responsabilidade em manter-se atualizado sobre este documento e normas relacionadas, bem como de que os ambientes, telefones, sistemas, computadores e redes da empresa estão sujeitos a monitoramento e gravação.
4. Princípios da Política de Privacidade
A informação da OITO, produzida ou recebida, deverá ser utilizada com senso de
responsabilidade de acordo com o código de conduta corporativo e de forma segura, em benefício exclusivo dos negócios da OITO.
A OITO reserva o direito de monitorar e registrar todo o uso das informações geradas, armazenadas ou veiculadas na empresa. Para tanto, serão criados e implantados controles apropriados e trilhas de auditoria ou registros de atividades em todos os pontos e sistemas que a empresa julgar necessário para reduzir os riscos.
Toda informação produzida ou recebida pelos colaboradores, sejam internos ou externos, como resultado da atividade profissional contratada pela OITO, pertence à referida empresa. As exceções devem ser explícitas e formalizadas em contrato entre as partes.
5. Requisitos da Política de Privacidade
Visando a efetividade e real cultura de uso ético e legal dos recursos tecnológicos, bem
como a Segurança da Informação da OITO, a Política de Privacidade deverá ser comunicada a todos os colaboradores internos, externos e terceiros.
No caso de parceiros e sócios, deverá ser comunicada sempre que a parceria envolver acesso às informações e/ou aos recursos tecnológicos da OITO.
A Política de Privacidade será revisada e atualizada periodicamente, no mínimo a cada 1 (um) ano, ou sempre que algum fato relevante ou evento ocorrer que motive a revisão antecipada da mesma, conforme análise e decisão do fórum responsável.
Deverá constar em todos os contratos da OITO o anexo ou cláusula de Confidencialidade, para acesso aos ativos de informação disponibilizados pela OITO. Para obter mais informações sobre as questões relativas a ativos consultar a Norma de Uso de Ativos.
O uso dos sistemas da OITO só é permitido para as pessoas que formalizarem a ciência sobre a Política de Privacidade da OITO.
A responsabilidade em relação à Segurança da Informação deve ser atribuída na fase de contratação dos colaboradores, de forma a ser incluída nos contratos e monitorada durante a vigência dos mesmos.
Para os colaboradores já contratados em período anterior a esta política, deverá ser-lhes entregue um Termo de Ciência e Responsabilidade da Política de Privacidade para a respectiva assinatura.
Todos os colaboradores da OITO devem passar por treinamento ou campanhas de conscientização sobre os procedimentos de segurança e uso correto dos ativos disponibilizados pela empresa, com a finalidade de minimizar possíveis riscos de segurança, explicitar suas responsabilidades e comunicar os procedimentos para a notificação de incidentes.
O parágrafo acima será aplicado aos prestadores de serviços terceirizados, bem como aos parceiros, sempre que, para execução de seus serviços, houver a necessidade de acesso às informações da OITO.
Todos os requisitos de Segurança da Informação, incluindo a necessidade de planos de contingência, devem ser identificados na fase de levantamento de escopo de um projeto ou sistema. Estes requisitos devem ser justificados, acordados, documentados, implementados e testados durante a fase de execução.
Serão criados e implementados controles apropriados e trilhas de auditoria ou registros de atividades em todos os pontos e sistemas que a empresa julgar necessário para reduzir os riscos dos seus ativos de informação.
Os ambientes de produção e desenvolvimento devem ser segregados e rigidamente controlados.
Os ativos críticos ou sensíveis devem ser mantidos em áreas seguras, protegidas por um perímetro de segurança definido, com barreiras de segurança apropriadas aos riscos identificados e ter o acesso controlado, registrado e monitorado.
Todo ativo de informação deve ser protegido de divulgação, modificação, furto ou roubo, através da aplicação de controles.
Devem ser estabelecidas e comunicadas normas e responsabilidades pela propriedade e custódia dos ativos de informação.
Devem ser estabelecidos procedimentos e responsabilidades específicas para o uso e gerenciamento dos ativos de informação disponibilizados pela OITO quando estiverem fora das instalações da empresa.
Quando razões tecnológicas ou determinações superiores tornarem impossível a aplicação dos requisitos previstos nesta norma ou ainda o uso apropriado de controles mínimos adequados à garantia da segurança dos ativos de informação, o responsável e/ou solicitante deverá documentá-las imediatamente à área de TI, para que possibilite a adoção de medidas alternativas que minimizem os riscos, bem como um plano de ação para corrigi-los, monitorá-los ou eliminá-los.
A OITO exonera-se de toda e qualquer responsabilidade decorrente do uso indevido, negligente ou imprudente dos recursos e serviços concedidos aos seus colaboradores, reservando-se o direito de punir os infratores, analisar dados e evidências para obtenção de provas a serem utilizadas nos processos investigatórios e adotar as medidas legais cabíveis.
Esta política será implementada na OITO por meio de procedimentos específicos, obrigatórios para todos os colaboradores, independentemente do nível hierárquico ou função na empresa.
6. Do Monitoramento e Auditoria
Para garantir as regras mencionadas nesta política, a OITO se reserva no direito de:
- Implantar sistemas de monitoramento de acesso às estações de trabalho, servidores internos e externos, correio eletrônico, navegação, Internet, dispositivos móveis ou wireless e outros componentes da rede. A informação gerada por estes sistemas de monitoramento poderá ser usada para identificar usuários e respectivos acessos efetuados;
- Inspecionar qualquer arquivo que esteja na rede, no disco local da estação ou qualquer outro ambiente, visando assegurar o rígido cumprimento desta Política de Privacidade;
- Instalar sistemas de proteção e detecção de invasão para garantir a segurança das informações e dos perímetros de acesso das mesmas;
- Instalar câmeras nas instalações físicas.
7. Armazenamento, Divulgação e Acesso a Dados Pessoais
A Base de Dados da Oito não será comercializada ou cedida a terceiros. Seu acesso e utilização pelos usuários correspondentes visa tão somente o cumprimento das Obrigações Contratuais junto a nossos Clientes. As informações nela contidas não serão divulgadas a terceiros interessados, a não ser mediante determinação judicial.
8. Direitos dos Titulares de Dados Pessoais
Sempre considerando o disposto na legislação vigente, o Titular dos Dados Pessoais tem o direito de confirmar a existência, acessar, revisar, modificar e/ou requisitar uma cópia eletrônica do conjunto de Dados Pessoais que estão armazenados no Sistema Proprietário da Oito.
O Titular também tem direito de requisitar detalhes sobre a origem de seus Dados Pessoais ou o compartilhamento destes dados com terceiros.
A qualquer momento, o Titular também poderá limitar o uso e divulgação, ou revogar o consentimento a qualquer uma das atividades da Oito relacionada ao processamento de seus Dados Pessoais, excetuando-se as situações previstas na legislação vigente.
Estes direitos podem ser exercidos através dos canais de comunicação detalhados nesta Política, sendo necessária validação prévia da identidade do Titular através do fornecimento de uma cópia de seu RG ou meios equivalentes de identificação, em conformidade com a legislação vigente.
Sempre que um pedido for submetido sem o fornecimento dos elementos necessários à comprovação da legitimidade do Titular dos Dados Pessoais, o pedido será rejeitado. Ressalta-se que qualquer informação de identificação fornecida à Oito somente será processada de acordo com, e na medida permitida pela legislação vigente.
A Oito fará o máximo possível para atender todas as questões que lhe sejam apresentadas sobre as condições de coleta, uso, armazenamento, tratamento e proteção dos Dados Pessoais. Contudo, caso o Titular entenda que alguma questão restar não resolvida, terá o direito de apresentar reclamação à Autoridade de Proteção de Dados competente.
9. Das Disposições Finais
A qualquer tempo, e em qualquer dos casos previstos, prevalecendo o descumprimento das regras expostas, a administração de segurança poderá bloquear temporariamente o acesso do usuário comunicando ao mesmo e ao gestor da área os respectivos motivos.
Contato – dpo@oito.srv.br