O presente instrumento tem como objeto estabelecer diretrizes para a proteção das informações da empresa MULTSEG, devendo ser aplicada em toda e qualquer atividade atribuindo responsabilidades e diretrizes bem como a adequação às práticas no manuseio, tratamento, controle e proteção de dados, a fim de evitar a disponibilidade, divulgação, acesso e modificação não autorizados dos referidos dados, durante todo o ciclo de vida da informação, que pode perpassar pelas fases de coleta, uso, compartilhamento, transporte, armazenamento até o descarte das informações coletadas.
Esta política se aplica, no que couber, às atividades realizadas pela MULTSEG através de todo o seu corpo funcional, diretoria (Presidente e Conselho de Diretores), colaboradores, consultores externos, jovem aprendiz, estagiários e prestadores de serviço, assessorias e consultorias, desde que no efetivo exercício dos serviços contratados com empresa, para atender aos fins a que essa se destina, inclusive no compartilhamento de dados e informações e dados protegidas por esse documento.
Os normativos gerados a partir desta política devem ser revisados sempre que se fizer necessário, não excedendo o período máximo de 1 (um) ano.
Deverá ser implementada e disponibilizada, de forma total, parcial ou através de medidas e ações com fins pedagógicos, com circularização através de recurso virtuais como: no site e redes sociais da empresa; recursos físicos como folders, cartazes, quadro de avisos e em outros meios de comunicação, a fim de dar ampla divulgação às políticas a todos os interessados e envolvidos nas atividades da organização observando os limites legais e ética.
A presente política assim como a metodologia e ações práticas que permeiam a política de adequação e implementação da LGPD deverão estar alicerçadas nos princípios do normativo legal que regula os padrões de proteção de dados no Brasil, quais sejam: finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização na prestação de contas.
Tem o objetivo de assegurar o nível adequado de proteção para a informação, de acordo com a ISO 27001. De forma a coibir o vazamento de informações ou o acesso indevido decorrente de ato ilícito de terceiros, ou de forma acidental pelos operadores dos dados, com a definição dos pontos críticos na organização observando os requisitos legais.
O inventário de ativos tem como finalidade identificar: classificação das informações disponibilizadas, quem é responsável por elas, a que se destinam, onde, como, e com quem essas informações são compartilhadas interna e externamente, por quanto tempo são armazenadas, quando e como são descartadas;
Tem o objetivo de rotular/classificar os ativos de acordo com sua confidencialidade, são eles:
O proprietário do ativo é o responsável por classificar a informação, quanto maior o valor da informação (quanto maiores as consequências de uma quebra da confidencialidade), maior deve ser o nível de classificação, observando o sigilo requerido, relevância, criticidade e sensibilidade.
As informações criadas, armazenadas, manuseadas, transportadas, custodiadas ou descartadas, referentes aos ativos, são patrimônio da empresa, classificadas e manipuladas de acordo com normas e legislação específica em vigor, mantendo a segurança durante todo o seu ciclo de vida. Os personagens envolvidos no tratamento dos dados (controladores ou operadores) deverão tratar de forma estritamente confidencial todas as informações levadas ao conhecimento do titular do dado de acordo com o rótulo de cada ativo, durante a prestação dos Serviços e somente as utilizarão no âmbito dos serviços pactuados.
Obrigam-se, portanto, a manter o sigilo e respeitar a confidencialidade de todos os dados e informações, verbais ou escritas, pormenores, inovações, segredos comerciais, marcas, criações, especificações técnicas e comerciais da instituição, entre outros a que tiverem acesso, conhecimento ou que venha a lhes ser confiado, comprometendo-se, outrossim, a não revelar, reproduzir, utilizar ou dar conhecimento, em hipótese alguma e a qualquer tempo.
No âmbito da empresa, a MULTSEG se compromete a aplicar meios para que o uso das informações seja feito apenas para o desempenho das atividades laborais.
Os recursos de tecnologia da informação vinculados a MULTSEG colocados à disposição para uso como ferramentas de trabalho, devem ser utilizados em atividades primordialmente relacionadas às funções institucionais desempenhadas. Apenas os equipamentos e softwares disponibilizados e/ou homologados pela MULTSEG podem ser instalados e conectados à rede.
Todos os ativos de informação devem ser devidamente guardados, especialmente documentos em papel ou mídias removíveis que deverão ser armazenados em armários com chave e com acesso restrito.
Todo ativo resultante do trabalho da prestação de serviço direto ou indireto de tratamento da informação (coleta de dados e documentos, sistema, metodologia, dentre outros) é propriedade da MULTSEG.
Em caso de extinção ou rescisão do contrato de trabalho ou prestação de serviços, por qualquer motivo, deverá o agente de tratamento devolver todas as informações confidenciais geradas e manuseadas em decorrência da prestação dos serviços, ou emitir declaração de que as destruiu.