Políticas de privacidade e cookies
Política de Cookies
5. Política de Cookies
5.1. A Edgefy.com utiliza cookies?
Utilizamos cookies e outras tecnologias para que todos que utilizam o site da Edgefy tenham a melhor experiência possível. Os cookies também nos ajudam a manter a segurança da sua conta. Ao continuar a visitar o site ou usar nossos serviços, o usuário está concordando com a utilização de cookies e tecnologias semelhantes.
5.2. O que é um cookie?
Um cookie é um pequeno arquivo adicionado ao seu dispositivo ou computador que permite ativar os recursos e funcionalidades do site da Edgefy. Por exemplo, os cookies nos permitem identificar o seu dispositivo ou computador, viabilizando entrar e sair do site da Edgefy com segurança, e nos ajudam a saber se alguém tentou acessar sua conta a partir de um outro dispositivo ou computador. Os cookies também nos permitem compartilhar conteúdo da Edgefy com facilidade, ajudando-nos a apresentar anúncios relevantes para você.
5.3. Quando a Edgefy utiliza cookies?
A Edgefy utiliza cookies em nossos sites (tais como Edgefy.com e páginas de trabalhe conosco que utilizam nosso software, como por exemplo, nomedaempresa.Edgefy.com) e aplicativos para dispositivos móveis. Todos os navegadores que visitam estes sites receberão nossos cookies.
5.4. Que tipo de cookies a Edgefy utiliza?
Usamos dois tipos de cookies: cookies persistentes e cookies de sessão. Um cookie persistente ajuda a reconhecer o usuário, possibilitando retornar à Edgefy ou interagir com o nosso servidor sem que seja preciso entrar na conta novamente. Depois de entrar na sua conta, um cookie persistente permanecerá no seu navegador e será lido pela Edgefy quando você retornar a um dos nossos sites ou ao site de um parceiro que utilize os nossos serviços (por exemplo, nossos botões que permitem compartilhar ou candidatar-se a uma vaga).
Os cookies de sessão duram até a mesma terminar (geralmente durante a visita a um site ou durante uma sessão do navegador).
Política de Privacidade Interna
1. OBJETIVO
Como uma empresa moderna e voltada para o futuro, a Edgefy reconhece a necessidade de garantir que seus negócios operem sem problemas e sem interrupções, isto, para o benefício de seus clientes e outras partes interessadas.
Para tanto, todos os processos internos da empresa estão devidamente mapeados com boas práticas de privacidade e proteção de dados, e são apresentados a cada setor, com as devidas análises dos riscos envolvidos.
A Edgefy trabalha com fatores imprescindíveis que nos orientam, sendo eles:
Parceria: Acreditamos que melhores resultados provêm de relações baseadas na confiança, colaboração e respeito com nossos clientes e equipe.
Proteção e Prudência: Seguimos os mais altos níveis de segurança, garantindo a proteção e a continuidade das operações.
Assertividade: A agilidade aliada a assertividade orienta nossas ações.
Integridade: Somos transparentes e comprometidos, seguindo padrões éticos.
Esta política se aplica a todas as operações, pessoas e processos que constituem os sistemas que – de forma direta ou indireta – tratam dados pessoais na organização ou externa a ela, incluindo membros do conselho, diretores, funcionários, fornecedores e outros terceiros que têm acesso aos sistemas da Edgefy
2. ABRANGÊNCIA
Esta política abrange todas as pessoas de interesse – sejam físicas ou jurídicas – que tratam dados pessoais ou que são pertencentes a estes. Esta abrangência foi mapeada e delimitada durante o processo de adequação da Lei Geral de Proteção de Dados, lei Federal nº 13.709/2018, conforme as premissas de proteção e segurança dos dados e em consonância com os princípios da organização e à norma NBR/IEC 27.701.
Os titulares que quiserem exercer o seu direito de autodeterminação informativa podem fazê-lo pelo e-mail atendimento@edgefy.com ou pelo site https://edgefy.com/contact-us/
Dúvidas em relação às informações de abrangências ou sugestões, nosso canal de comunicação pode ser feito através do e-mail atendimento@edgefy.com.
Todos os contatos serão analisados e prontamente respondidos após as requisições.
3. TERMOS
Para nivelar os termos utilizados e tornar essa política acessível a todos, abaixo segue a lista com os termos que achamos pertinente conceituar e que serão encontrados durante a leitura deste documento.
Assertividade: ter a habilidade de expor e defender um posicionamento de forma clara, tranquila, objetiva e sem gerar conflitos;
LGPD: Lei Geral de Proteção de Dados, lei federal nº 13.709/2018 que visa a proteção e privacidade de dados da pessoa natural;
ANPD: Autoridade Nacional de Proteção de Dados, órgão vinculado à presidência da república que visa regular e administrar empresas e regras sobre a proteção e privacidade de dados pessoais;
Dado pessoal: informação relacionada a pessoa natural identificada ou
identificável;
Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado
genético ou biométrico, quando vinculado a uma pessoa natural;
Tratamento de Dados (dados tratados): toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento,
arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
4. RESPONSABILIDADES
4.1. ALTA DIREÇÃO
b) Disponibilizar os recursos tecnológicos visando o cumprimento desta política;
c) Conceder acesso aos usuários, a partir das devidas solicitações dos gerentes responsáveis;
d) Assegurar que as ameaças externas não possam afetar a privacidade das informações da Companhia;
e) Controlar os registros do parque tecnológico (hardware e software) das empresas Edgefy;
f) Conferir e Salvaguardar todo equipamento devolvido por usuário ou adquirido;
g) Processar as atualizações de acessos de usuários aos dados pessoais e dados pessoais sensíveis de acordo com solicitação dos gerentes responsáveis;
h) Estabelecer quais as informações, armazenadas em servidores, devem ser preservadas através de cópia de segurança (backup);
i) Implementar melhorias de controles internos para adequação à lei 13.709/18 (Lei Geral de Proteção de Dados-LGPD) e à norma NBR/IEC 27.701.
4.2. RECURSOS HUMANOS
b) Definir com o Gerente Executivo e o gestor responsável, os recursos informacionais necessários para a execução das atividades para qual o colaborador ou prestador foi contratado (hardware, software, controle de informações em mídias físicas);
c) Solicitar o bloqueio dos acessos aos sistemas de informação da companhia em caso de desligamento ou mudança de área.
4.3. COLABORADORES E PRESTADORES TERCEIROS
b) Garantir a utilização dos recursos informacionais exclusivamente para fins profissionais, sendo vedado qualquer utilização para fins pessoais;
c) A obrigatoriedade de, em caso incidente de segurança da informação reportá-lo mediamente na ferramenta adequada;
d) Não deixar os equipamentos desassistidos no carro ou em locais de grande movimento;
e) Não utilizar computador pessoal para acesso à rede corporativa, a não ser que o computador seja homologado pela Edgefy;
f) Informar IMEDIATAMENTE a Edgefy, em caso de perda ou roubo do notebook/celular, através do e-mail rh@edgefy.com para devidas providências de bloqueio de acesso às informações;
g) Preservar a integridade e guardar sigilo das informações de que fazem uso;
h) Não compartilhar, sob qualquer forma, informações confidenciais com outros que não tenham a expressamente autorização de acesso;
i) Todo papel a ser descartado, que contenha qualquer tipo de informação que não seja pública, deverá ser triturado antes de ser eliminado;
j) Deve ser evitado conversar sobre informações confidenciais em ambientes públicos como Aeroportos, elevadores, restaurantes, etc.;
k) Não colocar arquivos confidenciais ou que não sejam de domínio público em quaisquer pastas com permissão de acesso público;
l) Garantir que as informações corporativas fiquem somente no ambiente da empresa, não sendo compartilhada em computadores pessoais, drivers virtuais pessoais, e-mail pessoal, etc, sem prévias autorizações;
m) Cumprir esta política de segurança, sob pena de incorrer nas sanções disciplinares e legais cabíveis.
4.4. GESTORES
b) Validar e solicitar os acessos para os colaboradores sob sua responsabilidade nos sistemas de informação disponibilizados pela companhia;
c) Solicitar o bloqueio dos acessos aos sistemas de informação da companhia em caso de desligamento ou mudança de área;
d) Receber, conferir e enviar para TI os equipamentos dos colaboradores ou prestadores em caso de desligamento;
e) Ser corresponsável pelo zelo de uso dos equipamentos e das informações fornecidos para execução do trabalho para o qual o colaborador ou prestador foi contratado.
4. DIRETRIZES DESTA POLÍTICA
5.1. MELHORIA CONTÍUNUA DA PROTEÇÃO E PRIVACIDADE DOS DADOS
• Melhorar continuamente a eficácia dos controles de proteção e privacidade dos dados, assim como a transparência sobre os seus usos;
• Aprimorar os processos atuais para adequá-los às boas práticas, conforme definido;
• Aumentar o nível de proatividade (e a percepção da proatividade das partes interessadas) em relação à proteção e privacidade dos dados;
• Tornar os processos e controles de proteção e privacidade dos dados mais mensuráveis, para fornecer uma base sólida para decisões;
• Revisar métricas relevantes anualmente para avaliar se é apropriado alterá-las, com base nos dados históricos coletados e, se for o caso, notificar prontamente os titulares dos dados sobre as novas formas de tratamento;
• Obter ideias para melhoria por meio de reuniões regulares e outras formas de comunicação com as partes interessadas;
• Analisar ideias para melhoria nas reuniões regulares de gestão, a fim de priorizar e avaliar prazos e benefícios sobre o aspecto do negócio da organização e em atenção especial aos direitos dos titulares de dados.
Ideias para melhorias podem ser obtidas de qualquer fonte, incluindo funcionários, clientes, fornecedores, equipe de TI, avaliações de risco e relatórios de serviço. Uma vez identificadas, elas serão registradas e avaliadas em revisões administrativas
5.2 PROGRAMA DE PROTEÇÃO E PRIVACIDADE DE DADOS
O Programa de Proteção e Privacidade de Dados visa reforçar a cultura sobre o cuidado em relação aos dados pessoais de clientes, parceiros, colaboradores e demais pessoas de interesse e que a empresa adota todas as medidas, seguindo as especificações da LGPD, em conjunto com as normativas internas da organização e outras regulamentações
5.3 FINALIDADE DOS DADOS TRATADOS
Na Edgefy as finalidades para o tratamento de dados são definidas pelas regras do negócio para que, de forma transparente e inequívoca possam ser delimitadas e respeitadas. Os itens a seguir apresentarão o grupo de dados com suas respectivas justificativas ao seu tratamento.
5.3.1 Dados de Clientes
Os dados são coletados para questões administrativas e de oportunidades de negócios tanto para o cliente quanto para a Edgefy, dentro das regras estabelecidas em nossas políticas, assim como todos os direitos do titular de dados, respeitando à proteção e privacidade de dados, de acordo com o que estabelecido na LGPD. O período de retenção varia de acordo com cada atividade da organização, sendo assim, para cada área, setor ou atividade, existe um período de retenção diferente, sendo assim, solicitamos a leitura abaixo dos tratamentos de dados para cada atividade, onde você pode se orientar nas referências “cliente” dos dados tratados
• Nome, RG, CPF, endereço, estado civil, telefone, e-mail, cargo, departamento, nacionalidade, data de nascimento
5.3.2 Dados dos Colaboradores
Os dados são coletados para questões administrativas, dentro das regras estabelecidas em nossas políticas, assim como todos os direitos do titular de dados, respeitando a proteção e privacidade de dados, de acordo com o que estabelecido na LGPD. O período de retenção varia de acordo com cada atividade da organização, sendo assim, para cada área, setor ou atividade, existe um período de retenção diferente, sendo assim, solicitamos a leitura abaixo dos tratamentos de dados para cada atividade, onde você pode se orientar nas referências “colaboradores” ou “funcionários” dos dados tratados. Os seguintes dados são coletados:
• Nome, sobrenome, endereço completo, telefone, e-mail, local de nascimento, dependentes, estado civil, escolaridade, salário, horário de trabalho, atestado de saúde, RG, CPF, placa do veículo, cargo, etnia, pai,
mãe, PIS, dados bancários, comprovante de despesas, naturalidade, tipagem sanguínea, ASO, foto, ficha de registro, seguro de vida, CTPS, diploma de formação, certidão negativa de débitos trabalhistas (CNDT),
certidão de regularidade INSS (CRF), imagens gravadas do Circuito Fechado de TV (CFTV), área de atuação, localidade, CNH, informe de rendimento, CREA, curriculum Vitae, cursos, departamento, sede e cidade, login, senha, matrícula, data de admissão, data de demissão, motivo do desligamento, patologia, histórico escolar, período aquisitivo para as férias, tipo de acesso, comprovante bancário, gênero, doença crônica, nacionalidade, participação societária, perfil de utilização, título do eleitor, NIT, sexo, resultado de exames, folha de ponto
5.3.3 Dados de Terceirizados
Os dados são coletados para questões administrativas e de oportunidades de negócios tanto para os terceirizados quanto para a Edgefy, dentro das regras estabelecidas em nossas políticas, assim como todos os direitos do titular de dados, respeitando à proteção e privacidade de dados, de acordo com o que
estabelecido na LGPD. O período de retenção varia de acordo com cada atividade da organização, sendo assim, para cada área, setor ou atividade, existe um período de retenção diferente, sendo assim, solicitamos a leitura abaixo dos tratamentos de dados para cada atividade, onde você pode se orientar nas referências “terceirizados” dos dados tratados. Os seguintes dados são coletados:
• Nome, e-mail, telefone corporativo, RG, CPF, título de eleitor, nacionalidade, estado civil, data de nascimento, endereço, CREA, nome do pai, nome da mãe.
5.3.4 Dados de Terceiros
Os dados são coletados para questões administrativas, dentro das regras estabelecidas em nossas políticas, assim como todos os direitos do titular de dados, respeitando a proteção e privacidade de dados, de acordo com o que estabelecido na LGPD. O período de retenção varia de acordo com cada atividade da organização, sendo assim, para cada área, setor ou atividade, existe um período de retenção diferente, sendo assim, solicitamos a leitura abaixo dos tratamentos de dados para cada atividade, onde você pode se
orientar em referências que não sejam citados nos outros itens da seção 6 dos dados tratados. Os seguintes dados são coletados
• Nome, RG, CPF, data de nascimento, endereço, telefone, e-mail, nome do pai, nome da mãe, cargo, CRC.
5.3.5 Dados de Fornecedores
Os dados são coletados para questões administrativas e de oportunidades de negócios tanto para os fornecedores quanto para a Edgefy, dentro das regras estabelecidas em nossas políticas, assim como todos os direitos do titular de dados, respeitando à proteção e privacidade de dados, de acordo com o que
estabelecido na LGPD. O período de retenção varia de acordo com cada atividade da organização, sendo assim, para cada área, setor ou atividade, existe um período de retenção diferente, sendo assim, solicitamos a leitura abaixo dos tratamentos de dados para cada atividade, onde você pode se orientar nas referências “fornecedores” dos dados tratados. Os seguintes dados são coletados:
• Nome, RG, CPF, conta bancária, e-mail, telefone.
5.3.6 Dados de Procuradores
Os dados são coletados para questões administrativas, dentro das regras estabelecidas em nossas políticas, assim como todos os direitos do titular de dados, respeitando a proteção e privacidade de dados, de acordo com o que estabelecido na LGPD. O período de retenção varia de acordo com cada atividade da organização, sendo assim, para cada área, setor ou atividade, existe um período de retenção diferente, sendo assim, solicitamos a leitura abaixo dos tratamentos de dados para cada atividade, onde você pode se
orientar em referências de “procuradores” dos dados tratados. Os seguintes dados são coletados:
• Nome, endereço, RG, CPF, estado civil
5.3.7 Dados de Visitantes
Os dados são coletados para questões administrativas, segurança e de oportunidades de negócios tanto para os visitantes quanto para a Edgefy, dentro das regras estabelecidas em nossas políticas, assim como todos os direitos do titular de dados, respeitando à proteção e privacidade de dados, de acordo com o que estabelecido na LGPD. O período de retenção varia de acordo com cada atividade da organização, sendo assim, para cada área, setor ou atividade, existe um período de retenção diferente, sendo assim, solicitamos a leitura abaixo dos tratamentos de dados para cada atividade.
Nota: Um visitante pode ser qualquer tipo de elemento citado na seção 6, sendo assim, dependendo do tipo de visitante, deve ser observado a sua seção correspondente. Os seguintes dados são coletados através do site:
visita, páginas visitadas, conteúdos acessados e baixados, interações nos nossos canais de comunicação.
Os seguintes dados são coletados através da visita à empresa:
• Nome, RG.
5.4 CICLO DE VIDA DOS DADOS
Os dados passam por um fluxo que vai desde a sua coleta, armazenamento, segurança até a sua eliminação. Para compreender como os dados podem “nascer”, serem armazenados por um determinado período, até serem inativados ou cancelados, dentro da Edgefy, a figura 1 apresenta o ciclo de vida dos dados:
A compreensão do ciclo de vida da informação (dado pessoal) é de extrema importância pois deixa claro para os responsáveis pela segurança da informação qual a finalidade do uso dos dados para o negócio da empresa, quem são as pessoas que acessam as mesmas, como utilizam os dados, onde armazenam, como compartilham o acesso aos mesmos e como é feita a eliminação.
5.5 EM CASO DE VIOLAÇÃO
A Edgefy possui uma equipe de resposta a incidentes devidamente orientada a atuar em casos de violação dos dados. Por isso, estabelecemos um processo conforme as orientações das normas de segurança da informação. A Figura 2 apresenta o fluxograma de ações em um evento de
incidente sobre os dados pessoais.
6. DOCUMENTOS DE REFERÊNCIAS
PL.00.24 – Política de Tecnologia da Informação
PL.00.38 – Política de Segurança da Informação
PL.00.37 – Política de Privacidade Externa
7. CONTROLE DE REGISTROS
NA
8. HISTÓRICO DE REVISÕES
Revisão
00
Data
01/10/2024
Descrição da alteração
Emissão
Aprovado pelo Gestor
Gabriel Bob
Aprovado pelo CEO
Antônio Bo
Política de Privacidade Externa
5. DIRETRIZES DESTA POLÍTICA
5.1. Tipos de informações que nós coletamos:
Tipos de informações que nós coletamos:
- Através do website edgefy.com;
- Pelo seu uso dos nossos serviços, e;
- De informações que você nos fornece.
5.2. Informações fornecidas por você
O visitante poderá fornecer suas informações através de envio de currículo para a Edgefy, pelo PAT ou por candidatura através do LinkedIn.
Coletamos informações de identificação pessoal – como nome, telefone, e-mail, empresa em que trabalha e cargo através do currículo enviado. Eventualmente, a solicitação de algumas informações pode ser feita por meio de contato direto da Edgefy com os usuários via e-mail ou telefone. Ao usar nossos serviços você, automaticamente, declara ter ciência e concorda com o uso dessas informações para essa finalidade.
5.3. Como usamos essas informações?
Quando você visita nosso site, é inserido um ‘cookie’ no seu navegador por meio do software Google Analytics, para identificar quantas vezes você retorna ao nosso endereço. São coletadas informações como endereço IP, localização geográfica, fonte de referência, tipo de navegador, duração da visita e páginas visitadas.
5.4. Histórico de contato
Na Edgefy armazenamos informações a respeito de todos os contatos já realizados com nossos usuários, como conteúdos baixados a partir de nossas páginas e interações via e-mail.
5.5. Dados gerados na utilização de nossos serviços
Se você se utilizar de algum de nossos serviços, coletaremos ainda outras informações. Nesse caso, coletaremos dados de contato como seu nome, e-mail e telefone, dados locacionais como país, cidade e estado de onde o acesso está ocorrendo, dados de perfil profissional, incluindo cargo, nome e segmento da empresa onde você trabalha, número de funcionários dessa empresa, formação acadêmica e anos de experiência, suas preferências de marketing e informações sobre seu navegador.
5.6. Dados de Redes Sociais
Ao utilizar sua conta em redes sociais (LinkedIn, Facebook, Instagram e YouTube) para interagir aos nossos serviços, você automaticamente declara ter ciência que poderemos coletar todos os dados que forem disponibilizados por estas redes sociais ao nosso sistema, como informações sobre anúncios, quantos clicks eles receberam, informações sobre os visitantes aos seus websites que estejam disponíveis nessa plataforma, entre outras.
5.7. Informações coletadas via formulário
- Seu e-mail é utilizado para a operação de envio do material ou informação por você requisitada no preenchimento do formulário. Também pode ser usado para envio de Newsletters. O e-mail será utilizado ainda para comunicar o lançamento de novos conteúdos gratuitos ou de novos produtos da Edgefy e parceiros. No entanto, o usuário pode cancelar a assinatura a qualquer momento;
- Os dados de download poderão ser divulgados como pesquisas e estatísticas, não sendo reveladas abertamente nenhuma informação pessoal, a menos que autorizada explicitamente;
- Funcionários da Edgefy poderão eventualmente entrar em contato via e-mail ou telefone para fazer pesquisas ou apresentar produtos e serviços.
- Enviar a você mensagens a respeito de suporte ou serviço, como alertas, notificações e atualizações;
- Nos comunicar com você sobre produtos, serviços, promoções, notícias, atualizações, eventos e outros assuntos que você possa ter interesse;
- Realizar publicidade direcionada conforme seus gostos, interesses e outras informações coletadas;
- Personalizar o serviço para este adequar cada vez mais aos seus gostos e interesses;
- Para qualquer fim que você autorizar no momento da coleta de dados;
- Cumprir obrigações legais.
5.8. Regras do Sistema de Manutenção, Desativação e Exclusão dos dados informados
O site da Edgefy possui regras para manutenção, desativação ou exclusão dos dados cadastradas, garantindo que as informações não permanecerão em nosso banco de dados por tempo indeterminado.
A Edgefy possui como clientes órgãos públicos e empresas privadas, e em alguns casos seus processos são auditados e as informações precisam ser mantidas e registradas.
Caso o titular dos dados queira solicitar a exclusão dos dados, poderá realizar através do formulário do campo “Fale Conosco” do nosso website, ou através de solicitação para o e-mail atendimento@edgefy.com.
5.9. Como nós respondemos às solicitações judiciais ou evitamos danos?
Nós podemos acessar, reter e compartilhar suas informações em atendimento às suas solicitações de suporte em nossos canais de atendimento ou em resposta a uma solicitação judicial (como um mandado de busca, ordem judicial ou intimação) se acreditarmos em boa-fé que a lei nos obriga a fazer isso. Também podemos acessar, reter e compartilhar informações quando acreditarmos em boa-fé que isso seja necessário para: detectar, impedir e resolver fraudes ou outras atividades ilegais; proteger a nós mesmos, nossos serviços, você e outras pessoas, inclusive como parte das investigações; ou impedir a morte ou lesões corporais iminentes. Por exemplo, podemos transmitir informações para parceiros externos sobre a confiabilidade da sua conta para impedir fraudes e abusos dentro e fora dos nossos serviços.
Poderemos também reter informações de contas desativadas a fim de evitar outros abusos ou violações de nossos termos.
5.10. Como ficarei sabendo sobre as possíveis alterações na política de privacidade?
Como estamos sempre buscando melhorar nossos serviços, essa Política de Privacidade pode passar por atualizações. Desta forma, recomendamos visitar periodicamente esta página para que você tenha conhecimento sobre as modificações. Caso sejam feitas alterações relevantes que ensejem em um novo consentimento seu, iremos publicar essa atualização e solicitar um novo consentimento para você.
5.11 Canais de atendimento às dúvidas e solicitações
Nós nos preocupamos com a transparência e o livre acesso aos seus dados. Se você acha que houve algum tratamento indevido ou se tem alguma dúvida sobre os seus direitos como titular ou como tratamos os seus dados, a Edgefy disponibiliza o Canal Fale Conosco, no site, às reinvindicações das quais você tem direito.
Política de Segurança da Informação
1. OBJETIVO
a. Estabelecer diretrizes que permitam aos “stakeholders” da Edgefy seguirem padrões de comportamento desejáveis e aceitáveis sobre o tema de segurança da informação, agindo de acordo com a legalidade e boas práticas mundiais e visa mitigar riscos técnicos, financeiros, administrativos, jurídicos e de imagem/reputação.
b. Nortear a definição de procedimentos específicos de Segurança da Informação, bem como a implantação de controles e processos para atendimento da mesma.
c. Preservar as informações da Edgefy quanto à confidencialidade, integridade e disponibilidade.
d. Minimizar os riscos de perdas financeiras, de participação no mercado, da confiança de consumidores e parceiros ou de qualquer outro impacto negativo ao negócio da Edgefy, resultante de uma ou mais falhas de segurança em seus ambientes, em especial no que diz respeito aos dados produzidos, armazenados, processados ou tratados por seus profissionais, seja em formato físico ou digital.
Esta Política é complementada por procedimentos e documentos anexos, classificados como confidenciais, e que trazem as orientações a serem seguidas na condução dos processos relacionados à esta política, e servem de referência aos profissionais encarregados da sua execução.
2. ABRANGÊNCIA
Este documento aplica-se a todos os Departamentos e empresas coligadas e controladas da Edgefy e abrange as normas NBR ISO/IEC 27.001 e ISO/IEC 27.002.
3. TERMOS
Autenticidade: é a garantia de que a informação está sendo manuseada por um usuário previamente autorizado para este tipo de atividade através da verificação da identidade digital do usuário no momento em que ele requisita
um acesso – “login” em um programa ou computador. O processo de autenticação depende de um ou mais modos de autenticação: algo que o usuário conhece (senhas), algo que o usuário é (meios biométricos), algo que o usuário tem (“smart cards”, “tokens”) ou onde o usuário está (acesso somente a partir de uma máquina específica).
Confidencialidade: é a garantia de que a informação não será conhecida por pessoas que não estejam autorizadas para tal. Na Edgefy é o aspecto mais estratégico; este pilar protege o capital intelectual e, por consequência, as vantagens competitivas da Edgefy
Disponibilidade: é a garantia de que a informação pode ser obtida sempre que for necessário, isto é, que esteja sempre disponível para quem precisar dela no exercício de suas funções. Quando a informação está indisponível, os processos que dela dependem ficam paralisados.
Integridade: é a garantia de que a informação armazenada ou transferida está correta e é apresentada de forma íntegra para quem a consulta. Significa que em uma comunicação, a informação não é alterada indevidamente ou corrompida no meio do trajeto entre quem emite a informação e quem a recebe. É uma característica crítica do ponto de vista operacional e indispensável, pois valida todo o processo de comunicação na Edgefy.
Legalidade: é a garantia de que a informação está gravada em conformidade com os procedimentos em vigor, ou seja, o uso da tecnologia de informática e comunicação que gerou a informação está de acordo com as leis vigentes no local ou País.
Rastreabilidade (ou Auditabilidade): é a possibilidade de se rastrear as atualizações ocorridas em uma informação sensível para que, em caso de ocorrência de algum problema, se possa esclarecer exatamente o que
aconteceu com a informação. Existem situações em que há necessidade de mecanismos capazes de rastrear o processo de volta até a origem.
Usuário: Colaborador ou representante (prestador de serviços) que utiliza os recursos tecnológicos pertencentes à companhia.
4. RESPONSABILIDADES
4.1. ALTA DIREÇÃO
a) Realizar a gestão do uso de tecnologias necessárias ao bom andamento dos negócios da Edgefy, incluindo ações preventivas e tratamento de incidentes, a fim de promover maior nível de segurança da informação;
b) Realizar as ações direcionadas às questões técnicas;
c) Propor as metodologias e processos específicos para a Segurança da Informação, em conjunto ao gestor de Segurança de Informação, como por exemplo, Avaliação de Risco;
d) Apoiar a avaliação e a adequação de controles específicos de Segurança da Informação para novos sistemas ou serviços, em conjunto com o time de Segurança de Informação;
e) Receber as denúncias sobre violações da Política e das Normas, após concretização das investigações realizadas, devendo promover a tratativa das informações, identificação do plano de ação, mitigação
de risco;
f) É o gestor (time) de segurança da informação.
4.2. RECURSOS HUMANOS
a) Entregar para todo colaborador ou prestador de serviços no momento da sua admissão a PL.00.38 – Política De Segurança Da Informação.
b) Entregar e coletar assinatura para todo colaborador ou prestador de serviços no momento da sua admissão a PL.00.24 – Política De Tecnologia Da Informação;
c) Definir com o gestor da área, o gestor de TI e o gestor de segurança da informação, os recursos informacionais necessários para a execução das atividades para qual o colaborador ou prestador foi contratado
(hardware e software);
d) Solicitar o bloqueio dos acessos aos sistemas de informação da companhia em caso de desligamento e mudança de área.
4.3. COLABORADORES E PRESTADORES TERCEIROS
Todos os colaboradores e prestadores da Edgefy:
a) Comprometem-se a cumprir fielmente a Política, normas e procedimentos de Segurança da Informação estabelecidos neste documento, assumindo o compromisso de observá-las e aplicá-las, bem como submetendo-se às sanções previstas nas políticas internas e na legislação aplicável;
b) Concordam que todas as operações e acessos efetuados em meios magnéticos são registrados e passíveis de verificação a qualquer momento, independentemente de aviso prévio, por se tratar de ferramentas de trabalho, não havendo que se falar em invasão de privacidade;
c) Ficam cientes de que a Edgefy, conforme direito que lhe cabe, poderá realizar o monitoramento de todos os seus ambientes, sejam eles físicos, como salas de trabalho; lógicos e/ou eletrônicos, incluindo: e-mail
corporativo, rede interna, Internet e Extranet e outros sistemas, armazenando os dados de acesso de cada usuário;
d) Concordam e reconhecem que, no evento de qualquer violação dos termos e condições desta Política, estará sujeito às normas internas e à legislação em vigor. Poderá, ainda, ensejar a demissão por justa causa, nos termos do disposto no Art. 482, alínea “g”, da Consolidação das Leis do Trabalho, sem prejuízo das demais sanções legais cabíveis;
e) Ficam cientes que, quando do término de sua relação de trabalho, ou a qualquer momento mediante requerimento da Edgefy, o mesmo deverá devolver todos e quaisquer materiais fornecidos, ou que contenham Informações de propriedade da mesma;
f) Ficam cientes de que é proibida a reprodução de documentos de uso exclusivo da Edgefy, para quaisquer finalidades ficando tal atitude caracterizada como divulgação não autorizada de informações confidenciais e produção ilegal de provas;
g) Devem buscar orientação junto ao gestor de segurança da informação quando houver dúvidas relacionadas à Segurança da Informação;
h) Devem fazer o uso de senha segura, devendo alterar a mesma, conforme periodicidade determinada pela Edgefy;
i) Devem assinar a PL.00.24 – Política De Tecnologia De Informação, formalizando a ciência da Política e das Normas de Segurança da Informação bem como assumindo a responsabilidade pelo seu cumprimento;
j) Devem proteger as informações contra o acesso, modificação, divulgação ou destruição não autorizada pela Edgefy;
k) Devem assegurar que os recursos tecnológicos sejam utilizados somente para fins profissionais aprovados e de interesse da Edgefy;
l) Devem comunicar imediatamente ao gestor de segurança da informação qualquer descumprimento ou violação desta Política e/ou de suas Normas e Procedimentos relacionados
4.4. GESTORES
É responsabilidade de todo gestor de área da Edgefy:
a) Ter conhecimento e gerenciar os acessos concedidos aos seus subordinados, sendo, portanto, responsável indireto pelo mau uso dos mesmos;
b) Revisar periodicamente os usuários com acessos a transações críticas sob sua responsabilidade, devendo informar a área de RH sobre eventuais mudanças de acesso ou autorização;
c) Ter postura exemplar em relação à Segurança da Informação, servindo como modelo de conduta para os colaboradores sob a sua gestão;
d) Cumprir e fazer cumprir esta Política, as Normas e Procedimentos de Segurança da Informação;
e) Assegurar que suas equipes possuam acesso e conheçam esta Política, bem como das Normas e Procedimentos relacionados à Segurança da Informação;
f) Atribuir na fase de contratação de terceirizados e parceiros, quando este necessitar ter contato com informações da companhia, a inserção de cláusula de responsabilidade, ciência da Política de Segurança da
Informação, exigindo o repasse das obrigações a seus colaboradores responsáveis pela prestação de serviços dentro da Edgefy;
g) Especificar e solicitar previamente permissão de acesso, elencando os ativos de informação para os colaboradores em geral que não sejam contratados;
h) Auxiliar o gestor de segurança da Informação na adaptação das Normas, Processos, Procedimentos e sistemas sob sua responsabilidade para atender a esta Política de Segurança da Informação;
i) Comunicar imediatamente a Alta Direção eventuais violações da Segurança da Informação, que tomará as medidas necessárias para tratativas.
4.5 DA ÁREA JURÍDICA
a) Orientar para a melhor forma de coleta e preservação de prova eletrônica, com o objetivo de manter sua eficácia para uso em juízo, quando necessário; e
b) Elaborar e revisar documentos jurídicos relacionados à Segurança da Informação, principalmente à proteção dos dados definidos pela LGPD e assegurar cláusulas que mitiguem os riscos jurídicos.
5. DIRETRIZES DESTA POLÍTICA
5.1. DIRETRIZES GERAIS
A informação, produzida ou recebida pelos profissionais da Edgefy, deverá ser utilizada com senso de responsabilidade e de modo ético e seguro, em benefício exclusivo do negócio corporativo e baseado nos
seguintes princípios da integridade, disponibilidade e confidencialidade. Na Edgefy a informação é considerada como o ativo mais valioso. Sem confidencialidade perde-se vantagem competitiva, sem integridade
perde-se lucratividade e sem disponibilidade perde-se a capacidade de operar. Além dos três atributos mencionados, considera-se também a autenticidade, legalidade e rastreabilidade, uma vez que sem
autenticidade, perde-se a confiança da origem fidedigna da informação, sem legalidade, há o risco de não aderência às normas regulatórias internas e externas e sem rastreabilidade, perde-se o controle
das atualizações ocorridas em dados sensíveis. A Segurança da Informação na organização estabelece as principais
diretrizes e controles para a proteção das informações:
a) As informações de titularidade da Edgefy devem ser tratadas de forma ética, sigilosa e legal e sempre se atentando aos termos acordados com colaboradores, clientes e parceiros, evitando assim o mau uso e
exposição indevida de tais informações;
b) A informação deverá ser utilizada de forma transparente, apenas para a finalidade para a qual foi designada e pelo tempo necessário para atingir a sua finalidade;
c) Todos os usuários concordam em usar as Informações unicamente na execução de seus deveres e devidamente classificadas de acordo com o critério de classificação definido pela organização;
d) Durante sua relação de trabalho ou parceria com a Edgefy – e mesmo depois de findar esta – o usuário não poderá publicar, revelar, ou de outro modo disponibilizar à qualquer terceiro, quaisquer Informações
classificadas como Restritas ou Confidenciais Restritas, exceto: (i) quando expressamente autorizado por escrito pela Edgefy, ou (ii) para outros colaboradores ativos que sabidamente estão autorizados a receber
Informações Confidenciais e têm necessidade de conhecê-las visando sua utilização para atender às necessidades do negócio;
e) Todos os usuários da informação têm ciência e concordam em agir com toda a diligência necessária para proteger a integridade e o sigilo das informações de propriedade da Edgefy, ficando vedada a subtração ou a retirada, sob qualquer forma, quaisquer materiais, exceto no que seja necessário em razão de normas ou leis em vigor;
f) Todas as pessoas dentro das dependências físicas da Edgefy devem estar identificadas por crachás visíveis (ou outro meio visual de identificação). A identificação (crachá, login, senha etc.) de cada colaborador é única,
pessoal e intransferível, qualificando-o como responsável, civil e criminalmente, pelas ações realizadas;
g) A senha de acesso é de uso pessoal e intransferível e deve ser mantida em sigilo, sendo expressamente proibido o seu compartilhamento, exceto nos casos pré-aprovados pelas áreas de Segurança da Informação;
h) Todos os riscos identificados em relação às informações da Edgefy devem ser reportados para a equipe de segurança da informação através de canal específico (ti@edgefy.com), para que possam ser tomadas as medidas necessárias de avaliação e mitigação do risco eventualmente identificado. Bem como todos os incidentes que afetem a segurança da informação deverão, de igual maneira.
i) Todo procedimento seguirá as diretrizes e normas para incidentes de segurança e, caso necessário, levará à diretoria o relato para que sejam aplicadas as devidas sanções aos envolvidos;
j) O controle de acesso dos usuários aos ativos de informação deve ser devidamente aprovado pelo responsável pela informação, quer seja para simples consulta ou para alteração. Todas as informações relativas à solicitação, aprovação e concessão efetiva do acesso deverão ser armazenadas em um Drive seguro, com o controle
de acesso configurado pelos responsáveis de cada área;
k) O uso do e-mail corporativo disponibilizado pela Edgefy é de propriedade da mesma e será permitido para usuários apenas para fins corporativos e por tempo determinado, definido pela gerência da área
solicitante. Quanto à transmissão de dados, este recurso deve ser utilizado para garantir a privacidade na comunicação dos dados;
l) As regras para o desenvolvimento seguro de sistemas e softwares devem ser estabelecidas e aplicadas aos desenvolvimentos realizados dentro ou fora da organização, estando condicionadas à avaliação de
adequação e aprovação do time de Segurança da Informação.
m) A concessão de acesso remoto aos sistemas e Drives da Edgefy para os colaboradores, parceiros e fornecedores, deve ser autorizada formalmente. A solicitação deve ser enviada à área de TI, pelo gestor da
área solicitante, ocasião em que deverá ser indicado o tipo de acesso, permissão e as informações a serem acessadas. Todo procedimento deve ser apresentado ao gestor de segurança da informação para que
tenha ciência das autorizações;
n) O uso do ambiente da internet na Edgefy é permitido somente para fins profissionais, onde os colaboradores devem ficar atentos aos sites que acessam e cientes que serão monitorados;
o) Um conjunto de regras deverá ser criado para garantir a padronização das técnicas criptográficas, a aplicação adequada das mesmas e responsabilidades para manter a segurança no transporte ou armazenamento das informações, independentemente do meio utilizado. A responsabilidade em relação às regras é do gestor de TI em parceria com o gestor de segurança da informação;
p) O ambiente de desenvolvimento, homologação e produção devem ser segregados e devidamente controlados. Não é permitido no ambiente de testes a utilização de dados pessoais e dados pessoais sensíveis reais;
q) Um processo de gestão de mudanças garante que controles e modificações nos sistemas ou recursos de processamento da informação sejam realizados com planejamento, a fim de não ocasionar falhas operacionais ou de segurança no ambiente produtivo da organização;
r) Os riscos são identificados por meio de um processo estabelecido para análise de vulnerabilidades, ameaças e impactos sobre os processos nos aspectos de segurança da informação (confidencialidade, integridade e disponibilidade);
s) Todas as informações que estiverem no meio físico (papel) deverão de igual teor serem classificados, armazenados em local seguro, trancado, protegido contra riscos naturais, voluntários e involuntário, com controle de acesso formal por parte dos usuários visando possíveis trilhas de auditorias;
t) Quando razões tecnológicas ou determinações superiores tornarem impossível a aplicação dos requisitos previstos nesta Política, o responsável e/ou solicitante deverá reportá-las imediatamente ao gestor de segurança da informação para que este possibilite a adoção de medidas alternativas que mitiguem os riscos, bem como um plano de ação para corrigi-los, atenuá-los, monitorá-los ou eliminá-los;
u) Todos os colaboradores da Edgefy devem passar por treinamento e conscientização sobre os procedimentos de segurança e uso correto dos ativos disponibilizados pela Edgefy periodicamente, de forma a minimizar
possíveis riscos de segurança, explicitar suas responsabilidades e comunicar os procedimentos para a notificação de incidentes;
v) Todos os colaboradores da Edgefy devem cuidar para que os direitos de propriedade intelectual sejam preservados, tais como projetos, marcas, patentes e que o uso de produtos de softwares proprietários esteja em
conformidade com a respectiva licença de uso;
w)Todos os colaboradores da Edgefy devem zelar para o cumprimento da “Política de mesa limpa, tela limpa e lixo limpo”, cujo objetivo é evitar:
1) papéis e mídias de armazenamento removível em cima das mesas;
2) cestos de lixo contendo informações confidenciais legíveis;
3) telas com informações de sessões ativas ou de sessões já
desativadas.
Estes cuidados são extensíveis às áreas comuns, tais como corredores, armários, áreas de armazenamento de material, salas de reunião, recintos de espera, áreas comunitárias (copa, cozinha, lazer, etc.).
5.2. DIVULGAÇÃO
A Política de Segurança da Informação é de conhecimento de todos os usuários e divulgada da seguinte forma:
a) Via campanhas periódicas de Segurança da Informação; e
b) Por meio digital, através da intranet corporativa.
A política está disponível em local de fácil acesso dos colaboradores e
protegida contra alterações não autorizadas.
Todos os colaboradores, além de prestadores de serviços, parceiros e
fornecedores que realizem qualquer forma de acesso ou manipulação
das informações (digitais ou físicas) ou utilizem recursos tecnológicos da
Edgefy devem aderir formalmente à “PL.00.24 – Política De Tecnologia De
Informação”, comprometendo-se a agir de acordo com a regras nela
descrita. (Material disponível como um dos volumes da Política de
Segurança da Informação)
5.3. MONITORAMENTO
A Edgefy através de sua área de Segurança da Informação monitora e registra todo o uso das informações geradas, armazenadas ou veiculadas na mesma, a qual se reserva no direito de:
a) Implantar sistemas de monitoramento de acesso às estações de trabalho, servidores internos e externos, correio eletrônicos, Internet, dispositivos móveis ou wireless e outros componentes da rede. A informação gerada por estes sistemas de monitoramento poderá ser usada para identificar usuários e respectivos acessos efetuados.
b) Inspecionar qualquer arquivo que esteja na rede, no disco local da estação ou qualquer outro ambiente, visando assegurar o rígido cumprimento desta Política de Segurança da Informação.
c) Instalar sistemas de proteção e detecção de invasão para garantir a segurança das informações e dos perímetros de acesso.
d) Monitorar as instalações físicas através de câmeras.
5.4. DIRETRIZES PARA LGPD
A empresas Edgefy definiu e implementou controles internos necessários para adequação à LGPD, referente a proteção de dados de clientes, colaboradores, fornecedores ou outros que envolvam dados de pessoas físicas, conforme disposto na lei 13.709/18.
5.5. PENALIDADES
Ao suspeito de cometer violações à Política e Normas de Segurança da Informação, deverá ser assegurado tratamento justo e correto, sendo que toda e qualquer medida resultante de sua infração, deverá ser
aplicada com proporcionalidade à ocorrência com base na Norma de Infrações e Penalidades.
A Edgefy se exime de toda e qualquer responsabilidade decorrente do uso indevido, negligente ou imprudente dos recursos e serviços concedidos aos seus colaboradores, reservando-se o direito de punir os infratores, analisar dados e evidências para obtenção de provas a serem utilizadas nos processos investigatórios e adotar as medidas legais cabíveis
6. DOCUMENTOS DE REFERÊNCIAS
P.12.03 – Backup
P.00.24 – Política de Tecnologia da Informação
P.00.38 – Política de Privacidade Externa
P.00.39 – Política de Privacidade Interna
7. CONTROLE DE REGISTROS
NA.
