POLÍTICA GERAL DE SEGURANÇA DA INFORMAÇÃO

PRIME SISTEMAS PARA INTERNET LTDA

Em atendimento à Lei Geral de Proteção de Dados
Lei 13.708/2018


Curitiba, 22 de fevereiro de 2024.


Diretor

Arylson Arruda Bueno

1. Implantação

A PRIME SISTEMAS PARA INTERNET EIRELI ME tem como missão: Desenvolver tecnologia com excelência satisfazendo os clientes.

1.1 A PRIME SISTEMAS PARA INTERNET EIRELI ME é empresa de sociedade individual, cujo produtos ofertados são: MOBI | Prime Ponto.

1.2 A PRIME SISTEMAS PARA INTERNET EIRELI ME compreende que a manipulação de sua informação passa por diferentes meios de suporte, armazenamento e comunicação, sendo estes vulneráveis a fatores externos e internos que podem comprometer a segurança das informações corporativas.

1.3 Dessa forma, a PRIME SISTEMAS PARA INTERNET EIRELI ME estabelece sua Política Geral de Segurança da Informação, em atendimento a Lei Geral de Proteção de Dados, como parte integrante do seu sistema de gestão corporativo, alinhada às boas práticas com o objetivo de garantir níveis adequados de proteção as informações da organização ou sob sua responsabilidade.

2. Objetivo da Política implantada

2.1 Esta política tem por objetivo implantar normas de Segurança da Informação que permitam aos colaboradores da PRIME SISTEMAS PARA INTERNET EIRELI ME adotar padrões de comportamento seguro, adequados às metas e necessidades da empresa e seus clientes;

2.2 Adotar controles e processos para atendimento dos requisitos para Segurança da Informação;

2.3 Resguardar as informações da PRIME SISTEMAS PARA INTERNET EIRELI ME, garantindo requisitos básicos de confidencialidade, integridade e disponibilidade;

2.4 Prevenir possíveis causas de incidentes e responsabilidade legal da instituição e seus empregados, clientes e parceiros;

2.5 Reduzir os riscos de vazamento de dados, e consequentemente a proteção financeiras de participação no mercado, da confiança de clientes ou de qualquer outro impacto que possa soar negativo aos negócios entre a PRIME e seus integrados, em caso de falhas de segurança.

3. Finalidade

3.1 Esta política tem como finalidade a aplicação a todos os usuários da informação da PRIME SISTEMAS PARA INTERNET EIRELI ME, incluindo qualquer indivíduo ou organização que possui ou possuiu vínculo com a PRIME, tais como empregados, ex-empregados, prestadores de serviço, ex-prestadores de serviço, colaboradores, ex-colaboradores, que possuíram, possuem ou virão a possuir acesso às informações da PRIME que tiverem contato com recursos de sistemas ou maquinas de acesso da empresa PRIME.

4. Norteamento

4.1 Esta política de gestão de Segurança da Informação da PRIME SISTEMAS prevê as normas de gestão e dados e a efetividade de todos os aspectos relacionados à segurança da informação, provendo suporte às operações críticas do negócio e minimizando riscos identificados e seus eventuais impactos.

4.2 O sócio empresarial, assim como seus colaboradores, criarão um Comitê Gestor de Segurança da Informação para tratar de melhorias na preservação de dados sempre que surgir demanda ou necessidade de adequação;

4.3 A política da PRIME SISTEMAS PARA INTERNET EIRELI ME prevê que irão:

4.3.1 Elaborar, implantar e seguir por completo políticas, normas e procedimentos de segurança da informação, garantindo que os requisitos básicos de
confidencialidade, integridade e disponibilidade da informação da PRIME SISTEMAS PARA INTERNET EIRELI ME sejam atingidos através da adoção
de controles contra ameaças provenientes de fontes tanto externas quanto internas;

4.3.2 Disponibilizar políticas, normas e procedimentos de segurança a todas as partes interessadas e autorizadas, tais como: Empregados, terceiros
contratados e clientes.

4.3.3 Garantir a educação e conscientização sobre as práticas adotadas pela
PRIME SISTEMAS PARA INTERNET EIRELI ME de segurança da informação para Empregados, terceiros contratados e, onde pertinente,
clientes.

4.3.4 Atender integralmente requisitos de segurança das informações aplicáveis ou exigidos por regulamentações, leis e/ou cláusulas contratuais;

4.3.5 Tratar possíveis falhas de segurança da informação, garantindo que os mesmos sejam adequadamente registrados, classificados, investigados,
corrigidos, documentados e , quando necessário, comunicando as autoridades apropriadas;

4.3.6 Garantir a continuidade do negócio através da adoção, implantação, teste e melhoria contínua de planos de continuidade e recuperação de desastres;

4.3.7 Melhorar continuamente a Gestão de Segurança da Informação através da definição e revisão sistemática de objetivos de segurança em todos os níveis da organização.

4.3.8 Utilizar as melhores técnicas de engenharia de confiabilidade, em evoluções e correções nos sistemas entregues.

4.3.9 Solicitar e armazenar autorização dos clientes para eventuais alterações em dados, que se fizerem necessárias.

5. Do Comitê Gestor

5.1 Comitê Gestor de Segurança da Informação- CG

5.1.1 Fica constituído o Comitê, contando com a participação de, pelo menos, um representante da diretoria e um membro da empresa das seguintes áreas: Diretoria, Tecnologia da Informação, e Jurídico.
5.1.2 É responsabilidade do CG:
5.1.3 Propor aprovação de políticas e normas relacionadas à segurança da
informação;
5.1.4 Disponibilizar material, informação e recursos necessários para uma efetiva
Gestão de Segurança da Informação;
5.1.5 Garantir que as atividades de segurança da informação sejam executadas
em conformidade com a Política Geral de Segurança da Informação;
5.1.6 Promover a divulgação da Política Geral e tomar as medidas necessárias
para ampliar o procedimento de segurança da informação no ambiente do
PRIME SISTEMAS PARA INTERNET EIRELI ME.

5.2 Gerente

5.2.1 Será designado um membro da empresa como Gerente de Segurança para:
conduzir a Gestão e Operação da segurança da informação, tendo como
base esta política e demais resoluções do CG;
5.2.2 Elaborar e propor ao CG as normas e procedimentos de segurança da
informação, necessários para se fazer cumprir a Política Geral;
5.2.3 Verificar e comunicar as possíveis ameaças à segurança da informação,
como ainda, propor medidas corretivas para reduzir riscos;
5.2.4 Supervisionar e Gerenciar a correta segurança da informação, garantindo a
inviolabilidade ou divulgação de dados que estão sendo tratados.

5.3 Gestores

5. 3.1. Serão definidos Gestores da Informação para Identificar, classificar e rotular as informações geradas ou sob a responsabilidade da sua área de negócio conforme normas, critérios e procedimentos adotados pela empresa PRIME;

5.3.2 A cada 06 meses, revisar as informações geradas ou sob a responsabilidade da sua área de negócio, ajustando a classificação e rotulagem das mesmas conforme necessário (como sendo de grau baixo, médio ou de alto risco caso tenha vazamento de informações);

5.3.3 Autorizar e revisar os acessos à informação e sistemas de informação sob sua responsabilidade;

5.3.4 Solicitar a autorização ou revogação de acesso à informação ou sistemas de informação de algum membro da empresa.

5.4 Usuários

5.4.1 É responsabilidade dos Usuários da Informação (clientes, funcionários, terceiros):
5.4.2 Fazer cumprir integralmente os termos da Política Geral de Segurança da Informação, bem como as demais normas e procedimentos de segurança
aplicáveis;
5.4.3 Informar imediatamente falhas no gerenciamento de dados ou qualquer evento que viole esta Política;
5.4.4 Assinar o Termo de Uso de Sistemas de Informação do PRIME SISTEMAS PARA INTERNET EIRELI ME, formalizando a ciência e o aceite integral das disposições da Política Geral de Segurança da Informação, bem como as demais normas e procedimentos de segurança, assumindo responsabilidade
pelo seu cumprimento;
5.4.5 Responder pela inobservância da Política Geral de Segurança da Informação, normas e procedimentos de segurança, conforme definido no
item sanções e punições.

6. Do Encarregado da Política de Proteção de Dados (DPO – Data Protection
Officer)

6.1 Nos termos do artigo 5º da Lei Geral de Proteção de Dados, a empresa contará opcionalmente (nos termos da ANPD na Resolução nº 02/2022 que isenta a obrigatoriedade), um Encarregado, podendo ser interno ou externo, será o canal de comunicação entre o controlador de dados, os titulares dos dados e a autoridade Nacional de Proteção de Dados, se for o caso.

6.2 Pelo porte e classificação a empresa PRIME não tem obrigatoriedade em compor, entretanto ficará disponível o encarregado nomeado para atendimento voluntário aos requisitos a seguir.

6.3 Competirá ao Encarregado: nos termos do artigo 39:
● Informar e aconselhar o responsável pelo tratamento e os demais profissionais sobre suas obrigações nos termos do Regulamento Geral de Dados da União Europeia –GDPR;

●Controlar a conformidade com o GDPR e com as políticas do responsável pelo tratamento, incluindo a atribuição de responsabilidades, a sensibilização e aformação do pessoal envolvido no tratamento;

● Prestar aconselhamento, se tal for solicitado, no que se refere à avaliação do impacto da proteção de dados, e acompanhar o seu desempenho;

● Cooperar com as autoridades;
● Servir de ponte para a autoridade de supervisão em questões relacionadas com o tratamento.

● Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

● Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais.

● Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

6.4 Para tanto, o Controlador de dados será o técnico responsável interno à empresa, que comandará e será o responsável pela prática da proteção e tratamento de dados, e canal de comunicação com os funcionários, comitê e o Encarregado, cabendo ainda tomar decisões.

6.5 Caberá ainda manter o Operador de dados, que poderá ser o Técnico da TI interno ou Externo, o qual realizará o trabalho prática de lançamento, acompanhamento, encaminhamentos, na rotina diária na lida com os dados propostos.

7. Do envio, tratamento, backup e DR internacional de dados

7.1 Nos termos do artigo 33, do Capítulo V da LGPD, a transferência internacional de dados pessoais somente é permitida nos seguintes casos, previstos em Lei, como ainda:

I – para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequados.

II – quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos na Lei, na forma de:
a) cláusulas contratuais específicas para determinada transferência;
b) cláusulas-padrão contratuais;
c) normas corporativas globais;
d) selos, certificados e códigos de conduta regularmente emitidos;

III – quando a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional;

IV – quando a transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro;

V – quando a autoridade nacional autorizar a transferência;

VI – quando a transferência resultar em compromisso assumido em acordo de cooperação internacional;

VII – quando a transferência for necessária para a execução de política pública ou atribuição legal do serviço público, sendo dada publicidade nos termos do inciso I do caput do art. 23 desta Lei;

VIII – quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta de outras finalidades; ou

IX – quando necessário para atender as hipóteses previstas nos incisos II, V e VI do art. 7º da citada Lei.

A empresa hospedará internacionalmente tais dados, em IOWA, nos Estados Unidos da América, OHIO nos Estados Unidos da América e no estado de São Paulo, Brasil, seguindo os termos da legislação brasileira, como ainda, sobre a regulamentação internacional a qual ficará disponível eletronicamente e publicamente nos links a seguir: https://cloud.google.com/security/compliance/lgpd?hl=pt-br
https://aws.amazon.com/pt/compliance/brazil-data-privacy/

7.2 Quanto ao backup e dr (recuperação de desastres) seguimos a política e recursos dos
nossos provedores de infraestrutura internacional, disponível eletronicamente e
publicamente nos links a seguir: https://cloud.google.com/backup-disaster-recovery/ https://aws.amazon.com/local/hongkong/solutions/backup-disaster-recovery/

8. Infrações à Política

8.1. Sendo tal Política violada, os envolvidos serão passíveis de penalidades que incluem advertência verbal no primeiro ato, advertência por escrito no segundo ato, suspensão não remunerada em caso de dano de cunho financeiro e a demissão por justa causa em caso de vazamento de dados os quais tinha acesso;

8.2. A aplicação de sanções e punições será realizada conforme a análise do Comitê Gestor de Segurança da Informação, devendo-se considerar a gravidade da infração, efeito alcançado, recorrência e as hipóteses previstas no artigo 482 da Consolidação das Leis do Trabalho, podendo o CG, no uso do poder disciplinar que lhe é atribuído, aplicar a pena que entender cabível quando tipificada a falta grave.

8.3. No caso de terceiros contratados ou prestadores de serviço, o CG deve analisar a ocorrência e deliberar sobre a efetivação das sanções e punições conforme termos previstos em contrato firmado com os mesmos;

8.4. Para o caso de violações que impliquem em atividades ilegais, ou que possam incorrer em dano à empresa PRIME SISTEMAS PARA INTERNET EIRELI ME, o infrator será responsabilizado pelos prejuízos, cabendo aplicação das medidas judiciais pertinentes sem prejuízo aos termos descritos nos itens 6.1, 6.2 e 6.3 desta política.

9. Disposições Gerais:

9.1. Os casos omissos serão avaliados pelo Comitê Gestor de Segurança da Informação para decisão.

9.2. As diretrizes estabelecidas nesta política e nas demais normas e procedimentos de segurança, não se encerram pela contínua evolução tecnológica e surgimento de novas ameaças.

9.3. Não se constitui aqui taxativamente as previsões, e sim exemplificações, sendo obrigação do usuário da informação da PRIME SISTEMAS PARA INTERNET EIRELI ME adotar, sempre que possível, outras medidas de segurança além das aqui previstas, com o objetivo de garantir proteção às informações da PRIME.

9.4. A Política Geral de Segurança da Informação segue aprovada pelo Comitê Gestor de Segurança da Informação, assim como da Controladoria e Encarregado da empresa PRIME SISTEMAS PARA INTERNET EIRELI ME no dia 13 de junho de 2022.

Arylson Arruda Bueno
Diretor da comissão
Operador de TI

______________________________
Nome: Emily Lohana Wilsinski
Controlador de PD PRIME

Gabriel Felipe Batista dos Santos
Gestor da Comissão

__________________________________
Nome:
Arylson Arruda Bueno
Encarregado de PD PRIME

MEMBROS FUNÇÃO ENQUADRAMENTO ASSINATURAS
01 Arylson Arruda Bueno DIRETOR empresa de software
02 Gabriel Felipe Batista dos Santos

GESTOR empresa de software

04 Tatiane Dionízio JURIDICO Comitê de Gestão
05 Emily Lohana Wilsinski CONTROLADOR empresa de software
06 Arylson Arruda Bueno ENCARREGADO empresa de software
07 Gabriel Felipe Batista dos Santos
OPERADOR DE TI

empresa de software

Tatiane Dionízio
OABPR69628
Jurídico
Krieck Dionízio Advogados Associados