Esta política abrange todas as pessoas de interesse – sejam físicas ou jurídicas – que tratam dados pessoais ou que são pertencentes a estes. Esta abrangência foi mapeada e delimitada durante o processo de adequação da Lei Geral de Proteção de Dados, lei Federal nº 13.709/2018, conforme as premissas de proteção e segurança dos dados e em consonância com os princípios da organização e à norma NBR/IEC 27.701.
Os titulares que quiserem exercer o seu direito de autodeterminação informativa podem fazê-lo pelo e-mail atendimento@edgefy.com ou pelo site https://edgefy.com/contact-us/
Dúvidas em relação às informações de abrangências ou sugestões, nosso canal de comunicação pode ser feito através do e-mail atendimento@edgefy.com.
Todos os contatos serão analisados e prontamente respondidos após as requisições.
Para nivelar os termos utilizados e tornar essa política acessível a todos, abaixo segue a lista com os termos que achamos pertinente conceituar e que serão encontrados durante a leitura deste documento.
Assertividade: ter a habilidade de expor e defender um posicionamento de forma clara, tranquila, objetiva e sem gerar conflitos;
LGPD: Lei Geral de Proteção de Dados, lei federal nº 13.709/2018 que visa a proteção e privacidade de dados da pessoa natural;
ANPD: Autoridade Nacional de Proteção de Dados, órgão vinculado à presidência da república que visa regular e administrar empresas e regras sobre a proteção e privacidade de dados pessoais;
Dado pessoal: informação relacionada a pessoa natural identificada ou
identificável;
Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado
genético ou biométrico, quando vinculado a uma pessoa natural;
Tratamento de Dados (dados tratados): toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento,
arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
O Programa de Proteção e Privacidade de Dados visa reforçar a cultura sobre o cuidado em relação aos dados pessoais de clientes, parceiros, colaboradores e demais pessoas de interesse e que a empresa adota todas as medidas, seguindo as especificações da LGPD, em conjunto com as normativas internas da organização e outras regulamentações
Na Edgefy as finalidades para o tratamento de dados são definidas pelas regras do negócio para que, de forma transparente e inequívoca possam ser delimitadas e respeitadas. Os itens a seguir apresentarão o grupo de dados com suas respectivas justificativas ao seu tratamento.
Os dados são coletados para questões administrativas e de oportunidades de negócios tanto para o cliente quanto para a Edgefy, dentro das regras estabelecidas em nossas políticas, assim como todos os direitos do titular de dados, respeitando à proteção e privacidade de dados, de acordo com o que estabelecido na LGPD. O período de retenção varia de acordo com cada atividade da organização, sendo assim, para cada área, setor ou atividade, existe um período de retenção diferente, sendo assim, solicitamos a leitura abaixo dos tratamentos de dados para cada atividade, onde você pode se orientar nas referências “cliente” dos dados tratados
Os dados são coletados para questões administrativas, dentro das regras estabelecidas em nossas políticas, assim como todos os direitos do titular de dados, respeitando a proteção e privacidade de dados, de acordo com o que estabelecido na LGPD. O período de retenção varia de acordo com cada atividade da organização, sendo assim, para cada área, setor ou atividade, existe um período de retenção diferente, sendo assim, solicitamos a leitura abaixo dos tratamentos de dados para cada atividade, onde você pode se orientar nas referências “colaboradores” ou “funcionários” dos dados tratados. Os seguintes dados são coletados:
• Nome, sobrenome, endereço completo, telefone, e-mail, local de nascimento, dependentes, estado civil, escolaridade, salário, horário de trabalho, atestado de saúde, RG, CPF, placa do veículo, cargo, etnia, pai,
mãe, PIS, dados bancários, comprovante de despesas, naturalidade, tipagem sanguínea, ASO, foto, ficha de registro, seguro de vida, CTPS, diploma de formação, certidão negativa de débitos trabalhistas (CNDT),
certidão de regularidade INSS (CRF), imagens gravadas do Circuito Fechado de TV (CFTV), área de atuação, localidade, CNH, informe de rendimento, CREA, curriculum Vitae, cursos, departamento, sede e cidade, login, senha, matrícula, data de admissão, data de demissão, motivo do desligamento, patologia, histórico escolar, período aquisitivo para as férias, tipo de acesso, comprovante bancário, gênero, doença crônica, nacionalidade, participação societária, perfil de utilização, título do eleitor, NIT, sexo, resultado de exames, folha de ponto
Os dados são coletados para questões administrativas e de oportunidades de negócios tanto para os terceirizados quanto para a Edgefy, dentro das regras estabelecidas em nossas políticas, assim como todos os direitos do titular de dados, respeitando à proteção e privacidade de dados, de acordo com o que
estabelecido na LGPD. O período de retenção varia de acordo com cada atividade da organização, sendo assim, para cada área, setor ou atividade, existe um período de retenção diferente, sendo assim, solicitamos a leitura abaixo dos tratamentos de dados para cada atividade, onde você pode se orientar nas referências “terceirizados” dos dados tratados. Os seguintes dados são coletados:
• Nome, e-mail, telefone corporativo, RG, CPF, título de eleitor, nacionalidade, estado civil, data de nascimento, endereço, CREA, nome do pai, nome da mãe.
Os dados são coletados para questões administrativas, dentro das regras estabelecidas em nossas políticas, assim como todos os direitos do titular de dados, respeitando a proteção e privacidade de dados, de acordo com o que estabelecido na LGPD. O período de retenção varia de acordo com cada atividade da organização, sendo assim, para cada área, setor ou atividade, existe um período de retenção diferente, sendo assim, solicitamos a leitura abaixo dos tratamentos de dados para cada atividade, onde você pode se
orientar em referências que não sejam citados nos outros itens da seção 6 dos dados tratados. Os seguintes dados são coletados
• Nome, RG, CPF, data de nascimento, endereço, telefone, e-mail, nome do pai, nome da mãe, cargo, CRC.
Os dados são coletados para questões administrativas e de oportunidades de negócios tanto para os fornecedores quanto para a Edgefy, dentro das regras estabelecidas em nossas políticas, assim como todos os direitos do titular de dados, respeitando à proteção e privacidade de dados, de acordo com o que
estabelecido na LGPD. O período de retenção varia de acordo com cada atividade da organização, sendo assim, para cada área, setor ou atividade, existe um período de retenção diferente, sendo assim, solicitamos a leitura abaixo dos tratamentos de dados para cada atividade, onde você pode se orientar nas referências “fornecedores” dos dados tratados. Os seguintes dados são coletados:
• Nome, RG, CPF, conta bancária, e-mail, telefone.
Os dados são coletados para questões administrativas, dentro das regras estabelecidas em nossas políticas, assim como todos os direitos do titular de dados, respeitando a proteção e privacidade de dados, de acordo com o que estabelecido na LGPD. O período de retenção varia de acordo com cada atividade da organização, sendo assim, para cada área, setor ou atividade, existe um período de retenção diferente, sendo assim, solicitamos a leitura abaixo dos tratamentos de dados para cada atividade, onde você pode se
orientar em referências de “procuradores” dos dados tratados. Os seguintes dados são coletados:
• Nome, endereço, RG, CPF, estado civil
Os dados são coletados para questões administrativas, segurança e de oportunidades de negócios tanto para os visitantes quanto para a Edgefy, dentro das regras estabelecidas em nossas políticas, assim como todos os direitos do titular de dados, respeitando à proteção e privacidade de dados, de acordo com o que estabelecido na LGPD. O período de retenção varia de acordo com cada atividade da organização, sendo assim, para cada área, setor ou atividade, existe um período de retenção diferente, sendo assim, solicitamos a leitura abaixo dos tratamentos de dados para cada atividade.
Nota: Um visitante pode ser qualquer tipo de elemento citado na seção 6, sendo assim, dependendo do tipo de visitante, deve ser observado a sua seção correspondente. Os seguintes dados são coletados através do site:
visita, páginas visitadas, conteúdos acessados e baixados, interações nos nossos canais de comunicação.
Os seguintes dados são coletados através da visita à empresa:
• Nome, RG.
Os dados passam por um fluxo que vai desde a sua coleta, armazenamento, segurança até a sua eliminação. Para compreender como os dados podem “nascer”, serem armazenados por um determinado período, até serem inativados ou cancelados, dentro da Edgefy, a figura 1 apresenta o ciclo de vida dos dados:
A compreensão do ciclo de vida da informação (dado pessoal) é de extrema importância pois deixa claro para os responsáveis pela segurança da informação qual a finalidade do uso dos dados para o negócio da empresa, quem são as pessoas que acessam as mesmas, como utilizam os dados, onde armazenam, como compartilham o acesso aos mesmos e como é feita a eliminação.
A Edgefy possui uma equipe de resposta a incidentes devidamente orientada a atuar em casos de violação dos dados. Por isso, estabelecemos um processo conforme as orientações das normas de segurança da informação. A Figura 2 apresenta o fluxograma de ações em um evento de
incidente sobre os dados pessoais.
PL.00.24 – Política de Tecnologia da Informação
PL.00.38 – Política de Segurança da Informação
PL.00.37 – Política de Privacidade Externa
NA
Tipos de informações que nós coletamos:
O visitante poderá fornecer suas informações através de envio de currículo para a Edgefy, pelo PAT ou por candidatura através do LinkedIn.
Coletamos informações de identificação pessoal – como nome, telefone, e-mail, empresa em que trabalha e cargo através do currículo enviado. Eventualmente, a solicitação de algumas informações pode ser feita por meio de contato direto da Edgefy com os usuários via e-mail ou telefone. Ao usar nossos serviços você, automaticamente, declara ter ciência e concorda com o uso dessas informações para essa finalidade.
Quando você visita nosso site, é inserido um ‘cookie’ no seu navegador por meio do software Google Analytics, para identificar quantas vezes você retorna ao nosso endereço. São coletadas informações como endereço IP, localização geográfica, fonte de referência, tipo de navegador, duração da visita e páginas visitadas.
Na Edgefy armazenamos informações a respeito de todos os contatos já realizados com nossos usuários, como conteúdos baixados a partir de nossas páginas e interações via e-mail.
Se você se utilizar de algum de nossos serviços, coletaremos ainda outras informações. Nesse caso, coletaremos dados de contato como seu nome, e-mail e telefone, dados locacionais como país, cidade e estado de onde o acesso está ocorrendo, dados de perfil profissional, incluindo cargo, nome e segmento da empresa onde você trabalha, número de funcionários dessa empresa, formação acadêmica e anos de experiência, suas preferências de marketing e informações sobre seu navegador.
Ao utilizar sua conta em redes sociais (LinkedIn, Facebook, Instagram e YouTube) para interagir aos nossos serviços, você automaticamente declara ter ciência que poderemos coletar todos os dados que forem disponibilizados por estas redes sociais ao nosso sistema, como informações sobre anúncios, quantos clicks eles receberam, informações sobre os visitantes aos seus websites que estejam disponíveis nessa plataforma, entre outras.
O site da Edgefy possui regras para manutenção, desativação ou exclusão dos dados cadastradas, garantindo que as informações não permanecerão em nosso banco de dados por tempo indeterminado.
A Edgefy possui como clientes órgãos públicos e empresas privadas, e em alguns casos seus processos são auditados e as informações precisam ser mantidas e registradas.
Caso o titular dos dados queira solicitar a exclusão dos dados, poderá realizar através do formulário do campo “Fale Conosco” do nosso website, ou através de solicitação para o e-mail atendimento@edgefy.com.
Nós podemos acessar, reter e compartilhar suas informações em atendimento às suas solicitações de suporte em nossos canais de atendimento ou em resposta a uma solicitação judicial (como um mandado de busca, ordem judicial ou intimação) se acreditarmos em boa-fé que a lei nos obriga a fazer isso. Também podemos acessar, reter e compartilhar informações quando acreditarmos em boa-fé que isso seja necessário para: detectar, impedir e resolver fraudes ou outras atividades ilegais; proteger a nós mesmos, nossos serviços, você e outras pessoas, inclusive como parte das investigações; ou impedir a morte ou lesões corporais iminentes. Por exemplo, podemos transmitir informações para parceiros externos sobre a confiabilidade da sua conta para impedir fraudes e abusos dentro e fora dos nossos serviços.
Poderemos também reter informações de contas desativadas a fim de evitar outros abusos ou violações de nossos termos.
Como estamos sempre buscando melhorar nossos serviços, essa Política de Privacidade pode passar por atualizações. Desta forma, recomendamos visitar periodicamente esta página para que você tenha conhecimento sobre as modificações. Caso sejam feitas alterações relevantes que ensejem em um novo consentimento seu, iremos publicar essa atualização e solicitar um novo consentimento para você.
Nós nos preocupamos com a transparência e o livre acesso aos seus dados. Se você acha que houve algum tratamento indevido ou se tem alguma dúvida sobre os seus direitos como titular ou como tratamos os seus dados, a Edgefy disponibiliza o Canal Fale Conosco, no site, às reinvindicações das quais você tem direito.
Este documento aplica-se a todos os Departamentos e empresas coligadas e controladas da Edgefy e abrange as normas NBR ISO/IEC 27.001 e ISO/IEC 27.002.
Autenticidade: é a garantia de que a informação está sendo manuseada por um usuário previamente autorizado para este tipo de atividade através da verificação da identidade digital do usuário no momento em que ele requisita
um acesso – “login” em um programa ou computador. O processo de autenticação depende de um ou mais modos de autenticação: algo que o usuário conhece (senhas), algo que o usuário é (meios biométricos), algo que o usuário tem (“smart cards”, “tokens”) ou onde o usuário está (acesso somente a partir de uma máquina específica).
Confidencialidade: é a garantia de que a informação não será conhecida por pessoas que não estejam autorizadas para tal. Na Edgefy é o aspecto mais estratégico; este pilar protege o capital intelectual e, por consequência, as vantagens competitivas da Edgefy
Disponibilidade: é a garantia de que a informação pode ser obtida sempre que for necessário, isto é, que esteja sempre disponível para quem precisar dela no exercício de suas funções. Quando a informação está indisponível, os processos que dela dependem ficam paralisados.
Integridade: é a garantia de que a informação armazenada ou transferida está correta e é apresentada de forma íntegra para quem a consulta. Significa que em uma comunicação, a informação não é alterada indevidamente ou corrompida no meio do trajeto entre quem emite a informação e quem a recebe. É uma característica crítica do ponto de vista operacional e indispensável, pois valida todo o processo de comunicação na Edgefy.
Legalidade: é a garantia de que a informação está gravada em conformidade com os procedimentos em vigor, ou seja, o uso da tecnologia de informática e comunicação que gerou a informação está de acordo com as leis vigentes no local ou País.
Rastreabilidade (ou Auditabilidade): é a possibilidade de se rastrear as atualizações ocorridas em uma informação sensível para que, em caso de ocorrência de algum problema, se possa esclarecer exatamente o que
aconteceu com a informação. Existem situações em que há necessidade de mecanismos capazes de rastrear o processo de volta até a origem.
Usuário: Colaborador ou representante (prestador de serviços) que utiliza os recursos tecnológicos pertencentes à companhia.
a) Realizar a gestão do uso de tecnologias necessárias ao bom andamento dos negócios da Edgefy, incluindo ações preventivas e tratamento de incidentes, a fim de promover maior nível de segurança da informação;
b) Realizar as ações direcionadas às questões técnicas;
c) Propor as metodologias e processos específicos para a Segurança da Informação, em conjunto ao gestor de Segurança de Informação, como por exemplo, Avaliação de Risco;
d) Apoiar a avaliação e a adequação de controles específicos de Segurança da Informação para novos sistemas ou serviços, em conjunto com o time de Segurança de Informação;
e) Receber as denúncias sobre violações da Política e das Normas, após concretização das investigações realizadas, devendo promover a tratativa das informações, identificação do plano de ação, mitigação
de risco;
f) É o gestor (time) de segurança da informação.
a) Entregar para todo colaborador ou prestador de serviços no momento da sua admissão a PL.00.38 – Política De Segurança Da Informação.
b) Entregar e coletar assinatura para todo colaborador ou prestador de serviços no momento da sua admissão a PL.00.24 – Política De Tecnologia Da Informação;
c) Definir com o gestor da área, o gestor de TI e o gestor de segurança da informação, os recursos informacionais necessários para a execução das atividades para qual o colaborador ou prestador foi contratado
(hardware e software);
d) Solicitar o bloqueio dos acessos aos sistemas de informação da companhia em caso de desligamento e mudança de área.
Todos os colaboradores e prestadores da Edgefy:
a) Comprometem-se a cumprir fielmente a Política, normas e procedimentos de Segurança da Informação estabelecidos neste documento, assumindo o compromisso de observá-las e aplicá-las, bem como submetendo-se às sanções previstas nas políticas internas e na legislação aplicável;
b) Concordam que todas as operações e acessos efetuados em meios magnéticos são registrados e passíveis de verificação a qualquer momento, independentemente de aviso prévio, por se tratar de ferramentas de trabalho, não havendo que se falar em invasão de privacidade;
c) Ficam cientes de que a Edgefy, conforme direito que lhe cabe, poderá realizar o monitoramento de todos os seus ambientes, sejam eles físicos, como salas de trabalho; lógicos e/ou eletrônicos, incluindo: e-mail
corporativo, rede interna, Internet e Extranet e outros sistemas, armazenando os dados de acesso de cada usuário;
d) Concordam e reconhecem que, no evento de qualquer violação dos termos e condições desta Política, estará sujeito às normas internas e à legislação em vigor. Poderá, ainda, ensejar a demissão por justa causa, nos termos do disposto no Art. 482, alínea “g”, da Consolidação das Leis do Trabalho, sem prejuízo das demais sanções legais cabíveis;
e) Ficam cientes que, quando do término de sua relação de trabalho, ou a qualquer momento mediante requerimento da Edgefy, o mesmo deverá devolver todos e quaisquer materiais fornecidos, ou que contenham Informações de propriedade da mesma;
f) Ficam cientes de que é proibida a reprodução de documentos de uso exclusivo da Edgefy, para quaisquer finalidades ficando tal atitude caracterizada como divulgação não autorizada de informações confidenciais e produção ilegal de provas;
g) Devem buscar orientação junto ao gestor de segurança da informação quando houver dúvidas relacionadas à Segurança da Informação;
h) Devem fazer o uso de senha segura, devendo alterar a mesma, conforme periodicidade determinada pela Edgefy;
i) Devem assinar a PL.00.24 – Política De Tecnologia De Informação, formalizando a ciência da Política e das Normas de Segurança da Informação bem como assumindo a responsabilidade pelo seu cumprimento;
j) Devem proteger as informações contra o acesso, modificação, divulgação ou destruição não autorizada pela Edgefy;
k) Devem assegurar que os recursos tecnológicos sejam utilizados somente para fins profissionais aprovados e de interesse da Edgefy;
l) Devem comunicar imediatamente ao gestor de segurança da informação qualquer descumprimento ou violação desta Política e/ou de suas Normas e Procedimentos relacionados
É responsabilidade de todo gestor de área da Edgefy:
a) Ter conhecimento e gerenciar os acessos concedidos aos seus subordinados, sendo, portanto, responsável indireto pelo mau uso dos mesmos;
b) Revisar periodicamente os usuários com acessos a transações críticas sob sua responsabilidade, devendo informar a área de RH sobre eventuais mudanças de acesso ou autorização;
c) Ter postura exemplar em relação à Segurança da Informação, servindo como modelo de conduta para os colaboradores sob a sua gestão;
d) Cumprir e fazer cumprir esta Política, as Normas e Procedimentos de Segurança da Informação;
e) Assegurar que suas equipes possuam acesso e conheçam esta Política, bem como das Normas e Procedimentos relacionados à Segurança da Informação;
f) Atribuir na fase de contratação de terceirizados e parceiros, quando este necessitar ter contato com informações da companhia, a inserção de cláusula de responsabilidade, ciência da Política de Segurança da
Informação, exigindo o repasse das obrigações a seus colaboradores responsáveis pela prestação de serviços dentro da Edgefy;
g) Especificar e solicitar previamente permissão de acesso, elencando os ativos de informação para os colaboradores em geral que não sejam contratados;
h) Auxiliar o gestor de segurança da Informação na adaptação das Normas, Processos, Procedimentos e sistemas sob sua responsabilidade para atender a esta Política de Segurança da Informação;
i) Comunicar imediatamente a Alta Direção eventuais violações da Segurança da Informação, que tomará as medidas necessárias para tratativas.
a) Orientar para a melhor forma de coleta e preservação de prova eletrônica, com o objetivo de manter sua eficácia para uso em juízo, quando necessário; e
b) Elaborar e revisar documentos jurídicos relacionados à Segurança da Informação, principalmente à proteção dos dados definidos pela LGPD e assegurar cláusulas que mitiguem os riscos jurídicos.
A informação, produzida ou recebida pelos profissionais da Edgefy, deverá ser utilizada com senso de responsabilidade e de modo ético e seguro, em benefício exclusivo do negócio corporativo e baseado nos
seguintes princípios da integridade, disponibilidade e confidencialidade. Na Edgefy a informação é considerada como o ativo mais valioso. Sem confidencialidade perde-se vantagem competitiva, sem integridade
perde-se lucratividade e sem disponibilidade perde-se a capacidade de operar. Além dos três atributos mencionados, considera-se também a autenticidade, legalidade e rastreabilidade, uma vez que sem
autenticidade, perde-se a confiança da origem fidedigna da informação, sem legalidade, há o risco de não aderência às normas regulatórias internas e externas e sem rastreabilidade, perde-se o controle
das atualizações ocorridas em dados sensíveis. A Segurança da Informação na organização estabelece as principais
diretrizes e controles para a proteção das informações:
a) As informações de titularidade da Edgefy devem ser tratadas de forma ética, sigilosa e legal e sempre se atentando aos termos acordados com colaboradores, clientes e parceiros, evitando assim o mau uso e
exposição indevida de tais informações;
b) A informação deverá ser utilizada de forma transparente, apenas para a finalidade para a qual foi designada e pelo tempo necessário para atingir a sua finalidade;
c) Todos os usuários concordam em usar as Informações unicamente na execução de seus deveres e devidamente classificadas de acordo com o critério de classificação definido pela organização;
d) Durante sua relação de trabalho ou parceria com a Edgefy – e mesmo depois de findar esta – o usuário não poderá publicar, revelar, ou de outro modo disponibilizar à qualquer terceiro, quaisquer Informações
classificadas como Restritas ou Confidenciais Restritas, exceto: (i) quando expressamente autorizado por escrito pela Edgefy, ou (ii) para outros colaboradores ativos que sabidamente estão autorizados a receber
Informações Confidenciais e têm necessidade de conhecê-las visando sua utilização para atender às necessidades do negócio;
e) Todos os usuários da informação têm ciência e concordam em agir com toda a diligência necessária para proteger a integridade e o sigilo das informações de propriedade da Edgefy, ficando vedada a subtração ou a retirada, sob qualquer forma, quaisquer materiais, exceto no que seja necessário em razão de normas ou leis em vigor;
f) Todas as pessoas dentro das dependências físicas da Edgefy devem estar identificadas por crachás visíveis (ou outro meio visual de identificação). A identificação (crachá, login, senha etc.) de cada colaborador é única,
pessoal e intransferível, qualificando-o como responsável, civil e criminalmente, pelas ações realizadas;
g) A senha de acesso é de uso pessoal e intransferível e deve ser mantida em sigilo, sendo expressamente proibido o seu compartilhamento, exceto nos casos pré-aprovados pelas áreas de Segurança da Informação;
h) Todos os riscos identificados em relação às informações da Edgefy devem ser reportados para a equipe de segurança da informação através de canal específico (ti@edgefy.com), para que possam ser tomadas as medidas necessárias de avaliação e mitigação do risco eventualmente identificado. Bem como todos os incidentes que afetem a segurança da informação deverão, de igual maneira.
i) Todo procedimento seguirá as diretrizes e normas para incidentes de segurança e, caso necessário, levará à diretoria o relato para que sejam aplicadas as devidas sanções aos envolvidos;
j) O controle de acesso dos usuários aos ativos de informação deve ser devidamente aprovado pelo responsável pela informação, quer seja para simples consulta ou para alteração. Todas as informações relativas à solicitação, aprovação e concessão efetiva do acesso deverão ser armazenadas em um Drive seguro, com o controle
de acesso configurado pelos responsáveis de cada área;
k) O uso do e-mail corporativo disponibilizado pela Edgefy é de propriedade da mesma e será permitido para usuários apenas para fins corporativos e por tempo determinado, definido pela gerência da área
solicitante. Quanto à transmissão de dados, este recurso deve ser utilizado para garantir a privacidade na comunicação dos dados;
l) As regras para o desenvolvimento seguro de sistemas e softwares devem ser estabelecidas e aplicadas aos desenvolvimentos realizados dentro ou fora da organização, estando condicionadas à avaliação de
adequação e aprovação do time de Segurança da Informação.
m) A concessão de acesso remoto aos sistemas e Drives da Edgefy para os colaboradores, parceiros e fornecedores, deve ser autorizada formalmente. A solicitação deve ser enviada à área de TI, pelo gestor da
área solicitante, ocasião em que deverá ser indicado o tipo de acesso, permissão e as informações a serem acessadas. Todo procedimento deve ser apresentado ao gestor de segurança da informação para que
tenha ciência das autorizações;
n) O uso do ambiente da internet na Edgefy é permitido somente para fins profissionais, onde os colaboradores devem ficar atentos aos sites que acessam e cientes que serão monitorados;
o) Um conjunto de regras deverá ser criado para garantir a padronização das técnicas criptográficas, a aplicação adequada das mesmas e responsabilidades para manter a segurança no transporte ou armazenamento das informações, independentemente do meio utilizado. A responsabilidade em relação às regras é do gestor de TI em parceria com o gestor de segurança da informação;
p) O ambiente de desenvolvimento, homologação e produção devem ser segregados e devidamente controlados. Não é permitido no ambiente de testes a utilização de dados pessoais e dados pessoais sensíveis reais;
q) Um processo de gestão de mudanças garante que controles e modificações nos sistemas ou recursos de processamento da informação sejam realizados com planejamento, a fim de não ocasionar falhas operacionais ou de segurança no ambiente produtivo da organização;
r) Os riscos são identificados por meio de um processo estabelecido para análise de vulnerabilidades, ameaças e impactos sobre os processos nos aspectos de segurança da informação (confidencialidade, integridade e disponibilidade);
s) Todas as informações que estiverem no meio físico (papel) deverão de igual teor serem classificados, armazenados em local seguro, trancado, protegido contra riscos naturais, voluntários e involuntário, com controle de acesso formal por parte dos usuários visando possíveis trilhas de auditorias;
t) Quando razões tecnológicas ou determinações superiores tornarem impossível a aplicação dos requisitos previstos nesta Política, o responsável e/ou solicitante deverá reportá-las imediatamente ao gestor de segurança da informação para que este possibilite a adoção de medidas alternativas que mitiguem os riscos, bem como um plano de ação para corrigi-los, atenuá-los, monitorá-los ou eliminá-los;
u) Todos os colaboradores da Edgefy devem passar por treinamento e conscientização sobre os procedimentos de segurança e uso correto dos ativos disponibilizados pela Edgefy periodicamente, de forma a minimizar
possíveis riscos de segurança, explicitar suas responsabilidades e comunicar os procedimentos para a notificação de incidentes;
v) Todos os colaboradores da Edgefy devem cuidar para que os direitos de propriedade intelectual sejam preservados, tais como projetos, marcas, patentes e que o uso de produtos de softwares proprietários esteja em
conformidade com a respectiva licença de uso;
w)Todos os colaboradores da Edgefy devem zelar para o cumprimento da “Política de mesa limpa, tela limpa e lixo limpo”, cujo objetivo é evitar:
1) papéis e mídias de armazenamento removível em cima das mesas;
2) cestos de lixo contendo informações confidenciais legíveis;
3) telas com informações de sessões ativas ou de sessões já
desativadas.
Estes cuidados são extensíveis às áreas comuns, tais como corredores, armários, áreas de armazenamento de material, salas de reunião, recintos de espera, áreas comunitárias (copa, cozinha, lazer, etc.).
A Política de Segurança da Informação é de conhecimento de todos os usuários e divulgada da seguinte forma:
a) Via campanhas periódicas de Segurança da Informação; e
b) Por meio digital, através da intranet corporativa.
A política está disponível em local de fácil acesso dos colaboradores e
protegida contra alterações não autorizadas.
Todos os colaboradores, além de prestadores de serviços, parceiros e
fornecedores que realizem qualquer forma de acesso ou manipulação
das informações (digitais ou físicas) ou utilizem recursos tecnológicos da
Edgefy devem aderir formalmente à “PL.00.24 – Política De Tecnologia De
Informação”, comprometendo-se a agir de acordo com a regras nela
descrita. (Material disponível como um dos volumes da Política de
Segurança da Informação)
A Edgefy através de sua área de Segurança da Informação monitora e registra todo o uso das informações geradas, armazenadas ou veiculadas na mesma, a qual se reserva no direito de:
a) Implantar sistemas de monitoramento de acesso às estações de trabalho, servidores internos e externos, correio eletrônicos, Internet, dispositivos móveis ou wireless e outros componentes da rede. A informação gerada por estes sistemas de monitoramento poderá ser usada para identificar usuários e respectivos acessos efetuados.
b) Inspecionar qualquer arquivo que esteja na rede, no disco local da estação ou qualquer outro ambiente, visando assegurar o rígido cumprimento desta Política de Segurança da Informação.
c) Instalar sistemas de proteção e detecção de invasão para garantir a segurança das informações e dos perímetros de acesso.
d) Monitorar as instalações físicas através de câmeras.
A empresas Edgefy definiu e implementou controles internos necessários para adequação à LGPD, referente a proteção de dados de clientes, colaboradores, fornecedores ou outros que envolvam dados de pessoas físicas, conforme disposto na lei 13.709/18.
Ao suspeito de cometer violações à Política e Normas de Segurança da Informação, deverá ser assegurado tratamento justo e correto, sendo que toda e qualquer medida resultante de sua infração, deverá ser
aplicada com proporcionalidade à ocorrência com base na Norma de Infrações e Penalidades.
A Edgefy se exime de toda e qualquer responsabilidade decorrente do uso indevido, negligente ou imprudente dos recursos e serviços concedidos aos seus colaboradores, reservando-se o direito de punir os infratores, analisar dados e evidências para obtenção de provas a serem utilizadas nos processos investigatórios e adotar as medidas legais cabíveis
P.12.03 – Backup
P.00.24 – Política de Tecnologia da Informação
P.00.38 – Política de Privacidade Externa
P.00.39 – Política de Privacidade Interna
NA.
