Políticas de segurança da informação

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

 

  • APRESENTAÇÃO

A SERCON SERVIÇOS CONTÁBEIS LTDA, constituída em setembro de 2001, pelas idealizadoras Terezinha Carvalho e Meire Fernandes, possui a missão de promover soluções contábeis, com o compromisso de oferecer inovações para superar as expectativas dos clientes.

Uma das formas de cumprir sua missão organizacional, é manter-se diligente na conformidade legal de sua operação e na proteção, absolutamente prioritária, dos interesses e direitos de seus clientes e colaboradores. Para tanto, em observância à  Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados, a SERCON SERVIÇOS CONTÁBEIS LTDA institui a presente Política de Segurança da Informação, orientada pelas ISO/IEC 27001 e 27002, que detalham o padrão internacional de gestão de segurança da informação.

A Política de Segurança da Informação (PSI) é o documento que declara o comprometimento da SERCON SERVIÇOS CONTÁBEIS LTDA com a proteção dos dados e informações tratados em sua operação, expondo as diretrizes que orientam o processo de tratamento, assim como os processos e medidas de segurança adotados no intuito de proteger a privacidade dos titulares de dados.

  • OBJETIVOS

 

A presente PSI tem como objetivo geral a definição das diretrizes que orientam o tratamento de dados pessoais promovido pela SERCON SERVIÇOS CONTÁBEIS LTDA, permitindo aos colaboradores e clientes conhecerem os procedimentos relacionados à segurança da informação e adotarem o comportamento necessário à sua garantia.

Especificamente, objetiva-se, ainda:

  • Garantir a proteção dos dados pessoais tratados em sua operação, inclusive nos meios digitais;

 

  • Preservar a integridade dos dados e informações, evitando seu comprometimento, a partir de alterações, supressões ou adições indevidas;
  • Garantir a confidencialidade e o sigilo dos dados fornecidos por clientes e colaboradores;
  • Garantir a privacidade dos titulares dos dados tratados;
  • Garantir e viabilizar o exercício dos direitos dos titulares de dados;
  • Estabelecer os limites de atuação no tratamento de dados, evitando a violação aos direitos dos titulares.

 

  • APLICAÇÃO

 

O presente documento possui valor jurídico e estabelece diretrizes que devem ser imediata e indistintamente seguidas por todos os colaboradores, prestadores de serviços ou terceiros parceiros, se aplicando aos dados e informações tratados pela SERCON através de qualquer meio, físico ou virtual.

 

  • PRINCÍPIOS

 

  • Proteção: proteger e preservar os dados tratados pela SERCON SERVIÇOS CONTÁBEIS LTDA, em qualquer formato, dos diversos tipos de riscos ou ameaças, durante todo o ciclo de vida do tratamento;
  • Finalidade: observar a finalidade para qual os dados foram coletados em todo o processo de tratamento, não permitindo a utilização dos mesmo para fins diversos;
  • Adequação: o tratamento de dados feito pela SERCON utiliza processos adequados aos serviços ofertados e aos objetos do negócio;
  • Necessidade: somente serão coletados os dados necessários ao regular desempenho das atividades da empresa;
  • Livre acesso: os titulares podem consultar seus dados em tratamento ou exigir o exercício de quaisquer dos direitos a eles inerentes, por meio de formulário de solicitação facilitado, disponível no sítio eletrônico da SERCON SERVIÇOS CONTÁBEIS LTDA ou do envio de e-mail ao endereço: lgpd@serconcontabeis.com.br
  • Qualidade: são adotadas medidas de atualização periódicas, sendo permitido e encorajado que os titulares informem a alteração de seus dados e informações sempre que necessário;
  • Transparência: os titulares são cientificados do tratamento de dados promovido pela SERCON SERVIÇOS CONTÁBEIS LTDA, sendo qualquer atuação promovida no processo imediatamente informadas;
  • Segurança: são adotados procedimentos que garantam a proteção dos dados pessoais em casos de acessos não autorizados e reduzem o risco de ocorrência de incidentes de segurança, extravio de dados ou ataques ilícitos;
  • Prevenção: são adotadas medidas que reduzem o risco de dano aos titulares de dados pela ocorrência de eventuais incidentes de segurança;
  • Não discriminação: não são permitidas práticas ou condutas discriminatórias, prezando-se pelo sigilo dos dados sensíveis tratados pela SERCON;
  • Responsabilização: a violação aos processos básicos de segurança estabelecidos neste documento ou determinados pela SERCON SERVIÇOS CONTÁBEIS LTDA, por meio de orientações internas ou treinamentos, assim como a adoção de postura dolosa ou culposa que cause risco ou dano efetivo no tratamento de dados configura falta disciplinar e é punível, conforme a gravidade, de acordo com a Consolidação das Leis do Trabalho.

 

  • DIRETRIZES

 

  • Interpretação: esta PSI deve ser interpretada de forma restritiva, devendo o procedimento em casos omissos ser expressamente determinado ou autorizado pelo Comitê de Segurança da Informação;
  • Publicidade: esta PSI deve ser divulgada aos colaboradores, prestadores de serviço, terceiros relacionados, clientes e ao público em geral, com objetivo de efetivar o princípio da transparência, cientificando a todos que, direta ou indiretamente, são impactados pelas diretrizes estabelecidas;
  • Propriedade: os dados e informações tratados são de titularidade das pessoas físicas ou jurídicas que referenciam, porém, encontrando-se na tutela da SERCON SERVIÇOS CONTÁBEIS LTDA, devem ser empregadas exclusivamente nas atividades institucionais;
  • Sigilo: a SERCON se compromete a preservar o sigilo e a confidencialidade dos dados fornecidos pelos titulares, devendo todo colaborador assinar termo de sigilo específico que formaliza o comprometimento individual com a proteção à privacidade dos dados. Este termo passa a compor o contrato individual de trabalho firmado entre a SERCON SERVIÇOS CONTÁBEIS LTDA e o colaborador, representando sua violação falta disciplinar, passível de responsabilização nas diversas esferas;
  • Uso de dispositivos e recursos tecnológicos: o uso de dispositivos e recursos tecnológicos de propriedade da SERCON SERVIÇOS CONTÁBEIS LTDA deve ser feito apenas para fins profissionais, de modo lícito, probo, responsável e ético, em conformidade com as atribuições funcionais de cada cargo.
    • Não é permitido o uso de dispositivos e recurso tecnológico particulares para execução dos serviços ou das atribuições funcionais, sendo vedado também a conexão de dispositivos particulares à intranet da SERCON SERVIÇOS CONTÁBEIS LTDA, assim como a transmissão de dados por meio de canais ou dispositivos não autorizados, exceto quando previamente autorizado pelo Comitê de Segurança da Informação;
  • Uso e exposição de imagem pessoal: o uso e a exposição de imagem pessoal dos colaboradores, clientes ou terceiros será previamente autorizada mediante a assinatura de termo próprio, passível de revogação;
  • Controle de acesso: a SERCON SERVIÇOS CONTÁBEIS LTDA controla o acesso físico e virtual dos dados e informações em sua tutela e tratamento, sendo coletada a identificação, física ou virtual, de todo aquele que acessar ou participar da cadeia de tratamento, existindo, ainda, níveis de permissão e acesso correspondente às atribuições de cada setor e grau hierárquico;
  • Inspeção dos recursos tecnológicos: sempre que necessário, serão auditados ou inspecionados ou recursos de tecnologia que compõe o patrimônio corporativo da SERCON SERVIÇOS CONTÁBEIS LTDA, a fim de atender aos princípios da segurança e prevenção;
  • Conformidade: anualmente ou quando mudanças legais ou procedimentais significativas ocorrerem, deve ser revisada/atualizada esta PSI, garantindo-se o atendimento aos requisitos de segurança legais vigentes;
  • Capacitação: serão ofertados cursos, oficinas ou palestras ao quadro pessoal da SERCON SERVIÇOS CONTÁBEIS LTDA, com objetivo de conscientizar o colaborador sobre a importância da observância dos procedimentos de segurança da informação e direcionar sobre boas práticas no tratamento de dados pessoais;
  • Comitê de Segurança da Informação: será instituído Comitê com a participação de um representante de cada setor de operações da SERCON SERVIÇOS CONTÁBEIS LTDA, cuja principal função é assessorar e monitorar a implementação das ações relacionadas à Segurança da Informação e promover a adoção das medidas adequadas na hipótese de ocorrência de incidente de segurança;
  • Comunicação de Incidentes: eventuais casos de incidentes de segurança da informação devem ser imediatamente comunicados pelo colaborador que tiver conhecimento, por meio de e-mail direcionado ao endereço: lgpd@serconcontabeis.com.br , devendo o Comitê de Segurança da Informação avaliar a gravidade do incidente, o potencial lesivo e informar, sendo o caso, à Autoridade Nacional de Proteção de Dados – ANPD, por meio do formulário eletrônico contido no sítio da referida agência reguladora;

 

  • RESPONSABILIDADES

 

  • Dos colaboradores em geral: todo aquele que possuir vínculo empregatício ou que prestar serviço por intermédio de pessoa jurídica ou não, exercendo atividade relacionada aos serviços fornecidos pela SERCON SERVIÇOS CONTÁBEIS LTDA possui a responsabilidade de seguir os processos de segurança definidos pela empresa e as diretrizes nesta PSI expostas, sendo responsáveis pelo descumprimento;
  • Dos diretores e líderes: adotar postura exemplar em relação à segurança da informação, servindo como modelo de conduta para os demais colaboradores e parceiros;
  • Da gestão de recursos humanos: os responsáveis pela gestão de recursos humanos são responsáveis pela cientificação, no ato da contratação, das responsabilidades inerentes à segurança da informação e pela apresentação desta Política de Segurança da Informação, da Política de Privacidade e da coleta das assinaturas do termo de sigilo e confidencialidade, assim como do termo de consentimento do tratamento de dados e autorização do uso de imagem;
  • Do Comitê de Segurança da Informação: composto por representante tático de cada setor, o CSI é responsável pelo monitoramento dos processos definidos para tratamento de dados, prezando pela segurança das informações, instaurar, quando couber, procedimento disciplinar para apuração de responsabilidades dos envolvidos em violações de segurança da informação, assim como por comunicar à Autoridade Nacional de Proteção de Dados (ANPD) a ocorrência de incidente de segurança capaz de causar danos aos titulares;

 

  • DISPOSIÇÕES FINAIS

 

  • Canais de comunicação oficiais (redes sociais, e-mail corporativo, telefones corporativos etc): devem ser utilizados apenas para fins institucionais, sendo vedada a não identificação do remetente no ato de comunicação, o envio de mensagens não solicitadas para múltiplos destinatários, com objetivo comercial, a utilização de dispositivo ou canal de comunicação de outro colaborador sem a devida autorização, divulgar informações ou imagens de tela, sistemas, documentos e afins sem autorização expressa e formal, apagar mensagens ou informações pertinentes a tais canais, sobretudo com objetivo de evitar responsabilizações, produzir transmitir ou enviar mensagens que ofereça qualquer ameaça à segurança dos dados tratados pela Sercon ou à privacidade dos titulares;
  • Intranet: a rede interna é monitorada, sendo registrado o acesso dos usuários, sendo vedada a alteração dos parâmetros de segurança, sem a devida autorização, assim como a utilização da rede ou dos dispositivos da Sercon para a prática de qualquer ato ilícito ou que venha a expor à risco de segurança os dados e informações em tratamento, sendo igualmente vedado o acesso à sítios eletrônicos não seguros ou o download de software não autorizados;

 

  • Identificação e senhas: os recursos de identificação e senha protegem a identidade do usuário e permite o registro do acesso aos dados em tratamento, sendo vedada a utilização de identificação alheia, o compartilhamento de senhas individuais. O colaborador é responsável pela atualização periódica, a cada 06 meses, de suas senhas individuais, sendo vedada a reutilização de senhas ou a utilização de senhas frágeis, numéricas ou alfabéticas sequenciais, a exemplo “123456” ou “abcdef”, não devendo ser anotadas ou armazenadas em arquivos eletrônicos (Agendas, Post-its, Word, Bloco de notas, e-mail etc.), compreensíveis por linguagem humana (não criptografados); não devem ser baseadas em informações pessoais, como próprio nome, nome de familiares, data de nascimento, endereço, placa de veículo, nome da empresa, nome do departamento etc. Recomenda-se a utilização de senhas com, no mínimo 08 caracteres, que combinem números, letras e caracteres especiais.

 

  • Backup: os backups devem ser periódicos e automatizados por sistema de agendamento, devendo as nuvens de armazenamento ou os sistemas de backup serem periodicamente atualizados;
  • Dos casos omissos: os casos e eventual procedimento diverso do previsto nesta Política de Segurança da Informação e Comunicação serão submetidos à análise do Comitê de Segurança da Informação;
  • Dúvidas e solicitações: qualquer dúvida relativa a esta PSI ou qualquer solicitação relacionada às suas disposições devem ser encaminhadas ao endereço de e-mail lgpd@serconcontabeis.com.br ou protocolada no campo “Solicitações LGPD” constante no sítio eletrônico https://www.serconcontabeis.com.br/;
  • Este documento passa a vigorar na data de sua aprovação.

João Pessoa/PB, data da aprovação.

SERCON SERVIÇOS CONTÁBEIS LTDA

Documento elaborado em parceria com o Sebrae/PB, em programa de consultoria empresarial conduzido por Marcelly de Santana Batista, OAB/PB 27.360.