Política de Segurança da Informação

1 – Mensagem aos Stakeholders

Aos Colaboradores, Parceiros, Terceiros e Clientes,

Como fator crítico de sucesso, a GBackup considera extremamente importante garantirmos a segurança das informações sob nossa responsabilidade.

Desta forma a GBackup publica a sua POLÍTICA CORPORATlVA DE SEGURANÇA DA INFORMAÇÃO adequada aos nossos princípios e valores.

Este documento consiste em um conjunto de orientações que valorizam e definem o uso adequado das informações, possibilitando ambientes de TI seguros, confiáveis e íntegros.

Os pilares normativos de melhores práticas que sustentam a presente política são:

  • ISO 27001:2013

  • ISO 27002:2013

  • ISO 22301:2013

  • ISO 31000:2018

  • Guia de CIS Controls (Center for Internet Security)

  • COBIT / ITIL

O comprometimento de todos em conhecer e vivenciar esta política é de extrema importância para alcançarmos um padrão de excelência na gestão de segurança, proporcionando a evolução dos nossos negócios de forma cada vez mais transparente e segura.

2. Glossário

  • Owner”/Dono: Por “dono” entende-se o responsável pelo ativo e pelo risco.

  • Security Officer: O Security Officer é o profissional responsável pela Segurança da Informação de uma instituição.

  • NDA – Non Disclosure Agreement”: Trata-se de um acordo em que as partes que o assinam concordam em manter determinadas informações confidenciais.

  • Gestor: Entende-se o líder de uma área em que existe o risco.

  • Risco: É o efeito da incerteza nos objetivos. Um desvio em relação ao esperado. O risco é muitas vezes expresso em termos de uma combinação de consequências de um evento (incluindo mudanças nas circunstâncias) e a probabilidade de ocorrência associada.

  • Fonte de Risco: Fonte de Risco é um “elemento que, individualmente ou combinado, tem o potencial intrínseco para dar origem ao risco (Nota: uma fonte de risco pode ser tangível ou intangível)”.

  • Ameaça: Fonte tangível ou intangível de perdas.

3. Introdução

A adoção de políticas, normas e procedimentos que visem garantir a segurança da informação deve ser uma das prioridades do Compliance, reduzindo-se os riscos de falhas, os danos e/ou os prejuízos que possam comprometer a imagem e os objetivos da organização.

A informação pode existir e ser manipulada de diversas formas, ou seja, por meio de arquivos eletrônicos, mensagens eletrônicas, internet, bancos de dados, em meio impresso, verbalmente, em mídias de áudio e de vídeo, etc.

Por princípio, a segurança da informação deve abranger três aspectos básicos, destacados a seguir:

  • Confidencialidade: somente pessoas devidamente autorizadas pela empresa devem ter acesso à informação.

  • Integridade: somente alterações, supressões e adições autorizadas pela empresa devem ser realizadas nas informações.

  • Disponibilidade: a informação deve estar disponível para as pessoas autorizadas sempre que necessário ou demandado.

Para assegurar esses três itens mencionados, a informação deve ser adequadamente gerenciada e protegida contra roubo, fraude, espionagem e perda não intencional, acidentes e outras ameaças.

Em geral, o sucesso da Política de Segurança da Informação adotada pela GBackup depende da combinação de diversos elementos, dentre eles, a estrutura organizacional da empresa, as normas e os procedimentos relacionados, à segurança da informação e à maneira pela qual são implantados e monitorados, os sistemas tecnológicos utilizados, os mecanismos de controle desenvolvidos, assim como o comportamento de diretores, colaboradores, associados e sócios.

4. Objetivo

Este documento tem como objetivo estabelecer a Política de Segurança da Informação da GBackup, definindo as diretrizes relacionadas à segurança da informação.

5. Escopo

Esta política abrange todos os sistemas, equipamentos e informações da GBackup, incluindo também seus colaboradores, estagiários, terceirizados, temporários e fornecedores em quaisquer das dependências da GBackup, ou locais onde estes se façam presentes, por meio da utilização, do manuseio ou do processamento eletrônico das informações.

6. Papéis e Responsabilidades

6.1. Comitê de Segurança da Informação e Compliance (CSIC)

Esse comitê deverá ser constituído pelos Diretores e CSO com a atribuição de aprovar as diretrizes da Política de Segurança da Informação, assim como alterá-Ias conforme as necessidades da GBackup.
Portanto, a revisão e a manutenção desta política são de responsabilidade do comitê. A periodicidade da revisão será anual ou realizada no momento em que for conveniente para a GBackup.

Suas atribuições serão:

  • Propor ajustes, aprimoramentos e modificações desta Política;

  • Propor melhorias e aprovar as Normas de Segurança da Informação;

  • Definir a classificação das informações pertencentes e/ou custodiadas pela GBackup com base na política de classificação da informação;

  • Analisar os casos de violação desta Política e das Normas de Segurança da Informação, comunicar à Diretoria Executiva, quando for necessário;

  • Coordenar as ações dos Comitês Interdepartamentais viabilizando possíveis ajustes no plano de ação;

  • Garantir o sucesso de implantação do Modelo de Gestão de Segurança da Informação considerando os atuais e futuros desafios;

  • Realizar reuniões periódicas quando solicitadas, aprovar e propor adequações relacionados à melhoria da segurança da informação da GBackup.

  • A coordenação dos trabalhos do CSIC caberá ao responsável pela área de Segurança da Informação, cujas atribuições abrangerão a convocação das reuniões e suporte às atividades desenvolvidas.

  • As reuniões do CSIC devem ser realizadas semestralmente podendo haver convocação em frequência maior ou extraordinariamente, sempre que necessário e devem ser registradas em ata. De acordo com a necessidade, outros representantes de outras áreas da GBackup e convidados externos poderão participar das reuniões do CSIC.

6.2. Segurança da Informação

Essa área será responsável pela gestão de todas as frentes de Segurança da Informação da GBackup. Sua missão é estabelecer e utilizar uma metodologia para avaliar, implementar e monitorar as diretrizes de proteção dos bens de informações visando garantir a continuidade dos negócios e serviços da GBackup.

Suas atribuições serão:

  • Viabilizar, controlar a implementação e divulgar, de forma corporativa, a Política, Normas e Padrões de Segurança da Informação para todos os colaboradores, a arquitetura e os processos pertinentes à Segurança da Informação.

  • Elaborar, participar e propor ao Comitê de Segurança da Informação a arquitetura e os processos pertinentes à Segurança da Informação.

  • Apoiar e disseminar a cultura de Segurança da Informação.

  • Apoiar os auditores internos e, eventualmente, externos.

  • Elaborar e divulgar as normas e procedimentos de Segurança da Informação, assim como mantê-los sempre atualizados.

  • Elaborar e implementar projetos de suporte à Segurança da Informação.

  • Definir e Implantar a arquitetura de acesso lógico aos softwares de Segurança da Informação com apoio da área de Tecnologia & Operações.

  • Fornecer suporte técnico aos clientes/usuários regionais sobre aspectos de Segurança da Informação. Essas administrações regionais estão subordinadas tecnicamente a área de Segurança da Informação Corporativa.

  • Assegurar em nível de software, o controle de acesso lógico aos recursos computacionais com apoio das áreas técnicas, monitorando todo o ambiente de segurança.

  • Garantir que todos os procedimentos e controles de acesso lógico aos recursos de informática atendam às exigências de integridade, confiabilidade e confidencialidade dos dados e informações, assim como a continuidade das operações dos negócios.

  • Assegurar a adequação, a efetividade e a eficácia das Tecnologias empregadas e as operações de segurança lógica como (hardwares, softwares, técnicas de criptografia, firewalls, autenticadores, antivírus e demais recursos pertinentes) e físicos (acesso biométrico, etc), com apoio da área de Tecnologia & Operações.

  • Assegurar a definição das nomenclaturas e padrões de identificador de usuário (ID), logins e logons pela área de Tecnologia & Operações.

  • Estabelecer e manter um processo de suporte aos proprietários, (owners) dos bens de informações e dos softwares aplicativos e suas plataformas quanto às revisões periódicas dos acessos concedidos pelos mesmos. As revisões são de responsabilidade dos próprios proprietários (owners) e sua periodicidade será semestral ou realizada a qualquer momento conforme solicitação/necessidade dos próprios owners.

  • Analisar os riscos pertinentes à segurança da informação da GBackup e apresentar relatórios sobre tais riscos ao CSIC.

  • Realizar trabalhos de análise de vulnerabilidades, com intuito de assegurar o nível de segurança dos sistemas de informações e dos demais ambientes em que armazenam, processam ou transmitem as informações custodiadas da GBackup.

  • Solicitar informações às demais áreas da GBackup e realizar testes e avaliações de segurança, no intuito de verificar o cumprimento e aderência da Política de Segurança da Informação, sempre que necessário.

6.3. Proprietário da Informação

O proprietário da informação pode ser um diretor ou um gerente responsável pelo sistema ou processo da GBackup, os mesmos são responsáveis por estabelecer diretrizes de segurança da informação na Organização. A concessão, manutenção, revisão e cancelamento de autorizações de acesso a determinado conjunto de informações pertencentes à GBackup ou sob a sua guarda envolve a área de Tecnologia & Operações e proprietário da informação.

Cabe ao proprietário da informação:

  • Elaborar, para toda informação sob sua responsabilidade, matriz que relaciona cargos e funções da GBackup às autorizações de acesso concedidas;

  • Autorizar a liberação de acesso à informação sob sua responsabilidade, observadas a matriz de cargos e funções, a Política, Normas e Procedimentos de Segurança da Informação da GBackup;

  • Manter registro e controle atualizados de todas as liberações de acesso concedidas, determinando, sempre que necessário, a pronta suspensão ou alteração de tais liberações;

  • Reavaliar, sempre que necessário, as liberações de acesso concedidas, cancelando aquelas que não forem mais necessárias;

  • Analisar e fornecer os relatórios de controle de acesso fornecidos pela área de Tecnologia & Operações, com o objetivo de identificar desvios em relação à Política, as Normas e Procedimentos de Segurança da Informação, tomando as ações corretivas necessárias;

  • Participar da investigação de incidentes de segurança relacionados à informação sob sua responsabilidade;

  • Participar, sempre que convocado, das reuniões do Comitê de Segurança da Informação e Compliance (CSIC), prestando os esclarecimentos solicitados.

6.4. Recursos Humanos

Cabe ao Recursos Humanos:

  • Colher a assinatura do Termo de Adoção da Política de Segurança da Informação de todos colaboradores (terceiros, estagiários, temporários, CLT’s, associados, sócios e outros);

  • Colher a assinatura do Termo de Sigilo e Confidencialidade (NDA) dos funcionários e estagiários, arquivando-o nos respectivos prontuários;

  • Indicar, conforme o NDA, que existe a cessão de propriedade intelectual e não concorrência.

  • Colher a assinatura do Termo de Sigilo e Confidencialidade específico para os colaboradores da área de Tecnologia & Operações;

  • Comunicar à equipe de Tecnologia & Operações a existência de novos funcionários;

  • Informar, prontamente, à equipe de TI (Controle de Acesso), todos os desligamentos, afastamentos e modificações no quadro funcional da empresa.

6.5. Processo de Divulgação da PSI

A Política de Segurança da Informação deve ser de conhecimento de todos os funcionários, estagiários, colaboradores, associados e sócios da organização, portanto deve ser amplamente divulgada, inclusive e principalmente para novos colaboradores. Os métodos de divulgação, serão:

  • Campanhas internas de conscientização;

  • Palestras de conscientização;

  • Site público da GBackup;

  • Ou outra mídia definida pelo Comitê de Segurança da informação conforme necessidade da GBackup.

Uma vez que a Política de Segurança da Informação da GBackup seja de conhecimento de todos, não poderá ser admissível que os colaboradores aleguem o desconhecimento das regras nelas estabelecidas.

7. Diretrizes

A seguir, são apresentadas as diretrizes da Política de Segurança da Informação da GBackup. Tais diretrizes constituem os principais pilares da Gestão de Segurança da Informação da GBackup, norteando a elaboração das Normas e dos procedimentos.

7.1. Leis e Regulamentações

Cabe à Diretoria de Segurança da Informação e Compliance:

Manter as áreas da GBackup informadas sobre eventuais alterações legais e/ou regulatórias que impliquem responsabilidade e/ou ações envolvendo a gestão de segurança da informação;

Incluir, na análise e na elaboração de contratos, sempre que necessárias cláusulas específicas relacionadas à segurança da informação, com o objetivo de proteger os interesses da GBackup;

Avaliar, quando solicitada, as Normas e os Procedimentos de Segurança da Informação elaborados pelas diversas áreas da GBackup.

7.2. Classificação da Informação

O Comitê, representado por seus membros, é designado proprietário das informações custodiadas pela GBackup, com a responsabilidade da gestão da sua segurança durante todo o ciclo de vida da informação.

O Comitê deve classificar as Informações custodiadas pela GBackup utilizando um dos seguintes níveis de Classificações de Informação:

  • Confidencial: Informação que, se revelada a pessoas não autorizadas, pode ter um impacto significativo nas obrigações legais ou regulatórias, na condição financeira ou reputação, da GBackup ou de seus clientes. Dados de autenticação como: senhas, PINs, chaves privadas de criptografia, informações sobre ou pertencente a clientes e funcionários, Informação que o Comitê de Segurança da Informação determina ter o potencial de fornecer uma vantagem competitiva ou ter um impacto significativo sobre a GBackup se revelada a pessoas não autorizadas. A essas informações será utilizado o princípio do “Need to Know”, em que só serão fornecidas pelo proprietário da informação aos colaboradores que devem ter acesso a elas para a execução da sua atividade.

  • Interna: Informação que é normalmente compartilhada dentro da GBackup, não é destinada a distribuição fora da GBackup e não é classificada como RESTRITA ou CONFIDENCIAL.

  • Pública: Informação que é livremente disponível fora da GBackup ou é destinada a uso público pelo Comitê Corporativo. Cada gestor para o gerenciamento de risco dos processos sob sua responsabilidade deve seguir esta política através de práticas e procedimentos estabelecidos na GBackup e em sua área.

Com base no processo de gerenciamento de risco, na classificação da informação, e na classificação da infraestrutura que a suporta, cada gestor deve especificar os requisitos para proteção da informação e deve implementar os controles suficientes para assegurar a proteção especificada.

7.3. Identificação e Autenticação

Todas as plataformas de Tecnologia & Operações da GBackup devem autenticar a identidade de usuários (incluindo outros sistemas que acessam estas plataformas) antes de iniciar uma sessão ou transação, a menos que o usuário tenha direitos de acesso limitados a leitura de dados com classificação INTERNA ou PÚBLICA.

Todo usuário deve possuir uma identidade e ser identificado para cada plataforma de Tecnologia & Operações por:

  • Um ID (Iogin) de usuário não compartilhado.

  • Um método de autenticação que possibilite a identificação do usuário, por exemplo: senha única (estática) ou dinâmica, chave privada, dados biométricos ou outro mecanismo de autenticação homologado pelo Comitê Corporativo.

  • Todo usuário é responsável por toda atividade associada com o login de usuário associados à sua identidade ou sob sua custódia.

Os usuários devem seguir as seguintes práticas para proteção de senhas estáticas:

  • Nunca podem ser compartilhadas ou apresentadas a terceiros.

  • Nunca podem ser apresentadas/escritas em claro (com exceção de senha pré-expirada, utilizada no processo de senha inicial).

Um processo documentado deve ser implementado para garantir que todas as senhas estáticas sejam mudadas periodicamente e que os IDs (Iogin) de usuário sejam desabilitados depois de um período definido de inatividade, compatível com o nível de risco, com a classificação da informação e com a classificação da infraestrutura correspondente. Com a aprovação do Comitê Corporativo, este requisito pode ser substituído por um processo de esclarecimento periódico dos usuários quanto à necessidade de troca de senhas para a garantia da eficácia deste método de autenticação.

7.4. Confidencialidade e Integridade

Os gestores devem informar a todos da GBackup, os clientes e os fornecedores, usuários em geral dos sistemas de informação e dos processos que todas as informações armazenadas, transmitidas ou manuseadas por estes processos e sistemas são de propriedade da GBackup de seus clientes ou licenciadas por terceiros. Sempre que permitido pela legislação, a GBackup reserva o direito de revisar e monitorar estas informações para fins administrativos, de segurança ou legais.

Informações confidenciais da GBackup, independentemente da mídia ou ambiente onde estejam sendo mantidas, devem ser protegidas contra acessos não autorizados e com as devidas aprovações. Este padrão se aplica, mas não está limitado, aos seguintes tipos de mídia ou ambiente, nos quais as informações estão contidas, registradas ou armazenadas: cartões, CD, DVD, cópia impressa, disco magnético, fita magnética, pen drive, microfilme, disco ótico, documentos em geral, equipamentos de processamento, de rede, Internet, etc.

Para a proteção adequada das informações custodiadas pela GBackup, que estão sendo manuseadas nas estações de trabalho, sempre que o colaborador se ausentar do ambiente, em particular fora do horário de trabalho, é sua responsabilidade bloquear a estação de trabalho, solicitar e utilizar os recursos disponibilizados pela GBackup para proteger as informações de acessos não autorizados. Para a proteção adequada das informações custodiadas pela GBackup, que estão sendo manuseadas em equipamentos portáteis (notebook), todos os usuários devem cumprir os requerimentos definidos pela norma específica.

As informações classificadas como RESTRITA ou CONFIDENCIAL, no momento em que não forem mais úteis a GBackup ou seus clientes, considerados os períodos de retenção estabelecidos por lei, regulamento ou contrato, devem ser destruídas segundo os procedimentos definidos. Cada gestor deve assegurar que Terceiros (clientes ou fornecedores) protejam adequadamente as informações custodiadas pela GBackup às quais eles têm acesso.

Monitorando os Terceiros que armazenam, processam, gerenciam ou acessam as informações da GBackup (exceto as informações classificadas como INTERNA ou PÚBLICA) ou têm conexão com os recursos de rede da GBackup, para que cumpram os padrões aqui definidos.

Realizando avaliações de segurança da informação nos Terceiros de acordo com os procedimentos aprovados pelo Comitê Corporativo.

Formalizando acordos de confidencialidade NDA – “Non Disclosure Agreement” ou disposições equivalentes, aprovados pela área jurídica da GBackup, com os Terceiros que armazenem, processem, gerenciem ou acessem informações custodiadas pela GBackup (exceto informações classificadas corno PÚBLICA).

7.5. Adoção de Comportamento Seguro

Independentemente do meio ou da forma em que exista, a informação está presente no trabalho de todos os profissionais. Portanto, é fundamental para a proteção e salvaguarda das informações que os profissionais adotem comportamento seguro e consistente com o objetivo de proteção das informações da GBackup, com destaque para os seguintes itens:

  • Sócios, colaboradores e prestadores de serviços devem assumir atitude proativa e engajada no que diz respeito à proteção das informações da GBackup.

  • Todos na GBackup devem compreender as ameaças externas que podem afetar a segurança das informações da empresa, tais como vírus de computador, interceptação de mensagens eletrônicas, grampos telefônicos etc., bem como fraudes destinadas a roubar senhas de acesso aos sistemas de informação.

  • Todo tipo de acesso à informação da GBackup que não for explicitamente autorizado é proibido.

  • Assuntos confidenciais de trabalho não devem ser discutidos em ambientes públicos ou em áreas expostas (aviões, restaurantes, encontros sociais, elevadores, táxis, espaços de coworking, etc.).

  • As senhas de usuário são pessoais e intransferíveis, não podendo ser compartilhadas, divulgadas a terceiros (inclusive colaboradores da própria empresa), anotadas em papel ou em sistema visível ou de acesso não-protegido.

  • Somente softwares homologados pela equipe de TI da GBackup podem ser instalados nas estações de trabalho, o que deve ser feito, com exclusividade, pela equipe de Tecnologia & Operações da GBackup, respeitando as questões legais de licenciamento;

  • A política para uso de internet e correio eletrônico deve ser rigorosamente seguida;

  • Arquivos de origem desconhecida nunca devem ser abertos e/ou executados;

  • Documentos impressos e arquivos contendo informações confidenciais devem ser adequadamente armazenados e protegidos.

  • Qualquer tipo de dúvida sobre a Política de Segurança da Informação e suas Normas deve ser imediatamente esclarecido com a área de Segurança Corporativa;

  • Todas as normas de segurança da informação devem ser rigorosamente seguidas. Casos não previstos devem ser imediatamente submetidos para análise e a validação à área de Segurança Corporativa.

7.6. Avaliação dos Riscos de Segurança da Informação

A área de Segurança da Informação Corporativa deve realizar, de forma sistemática, a avaliação dos riscos relacionados à segurança da informação da GBackup.

A análise dos riscos deve atuar como ferramenta de orientação ao Comitê Corporativo de Segurança da Informação, principalmente, no que diz respeito à:

  • Identificação dos principais riscos aos quais as informações da GBackup estão expostas;

  • Priorização das ações voltadas à mitigação dos riscos apontados, tais como implantação de novos controles, criação de novas regras e procedimentos, reformulação de sistemas etc. O escopo da análise/avaliação de riscos de segurança da informação pode ser toda a organização, partes da organização, um sistema de informação específico, componentes de um sistema específico etc.

  • Planejamento trimestral de identificação e análise dos riscos, podendo ser alterado o ciclo de análise conforme definido pelo Comitê de Segurança da Informação.

  • Implantação de ferramentas para identificação de riscos e compliance.

7.7. Gestão de Acesso a Sistemas de Informação e a Outros Ambientes

Todo acesso às informações e aos ambientes lógicos e físicos da GBackup deve ser controlado, de forma a garantir acesso apenas às pessoas autorizadas pelo respectivo proprietário da informação. A política de controle de acesso deve ser documentada e formalizada por meio de Normas e Procedimentos que contemplem, pelo menos, os seguintes itens:

  • Procedimento formal de concessão e cancelamento de autorização de acesso do usuário aos sistemas de informação;

  • Comprovação da autorização do proprietário da informação;

  • Utilização de identificadores de usuário (ID de usuário) individualizados, de forma a assegurar a responsabilidade de cada usuário por suas ações;

  • Verificação se o nível de acesso concedido é apropriado ao propósito do negócio e se é consistente com a Política de Segurança da Informação, as Normas e Procedimentos;

  • Remoção imediata de autorizações dadas a usuários afastados ou desligados da empresa, ou que tenham mudado de função;

  • Processo de revisão periódica das autorizações concedidas;

  • Política de atribuição, manutenção e uso de senhas.

7.8. Monitoração e Controle

Os equipamentos, os sistemas, as informações e os serviços utilizados pelos usuários são de exclusiva propriedade da GBackup, não podendo ser interpretados como de uso pessoal.

Todos os profissionais da GBackup devem ter ciência de que o uso das informações e dos sistemas de informação da GBackup pode ser monitorado, e que os registros assim obtidos poderão ser utilizados para detecção de violações da Política, as Normas e Procedimentos de Segurança da Informação e, conforme o caso, servir como evidência em processos administrativos e/ou legais.

7.9. Grupo de Resposta a Incidentes de Segurança (GRIS)

A área de Segurança da Informação, em conjunto as áreas de Tecnologia & Operações e Segurança da Informação, são responsáveis por manter procedimentos para os processos de Gerenciamento de Incidente e de Resposta a Incidente de Segurança (GRIS).

Os gestores devem assegurar que todos os sistemas de informação que armazenam informações custodiadas (confidenciais) pela GBackup usam trilhas de auditoria para registrar e reportar:

  • Todas as tentativas de violação da segurança do sistema.

  • Todos os eventos significativos relacionados à administração do sistema bem como a segurança das transações e informações custodiadas (confidenciais) pela GBackup.

  • O nível de detalhe das trilhas de auditoria deve ser compatível com o nível de risco do processo associado.

  • Os gestores devem assegurar que as trilhas de auditoria sejam revisadas periodicamente de forma compatível com o nível de risco do processo associado. O processo de revisão deve ser segregado para assegurar que os revisores não revisem sua própria atividade.

  • Qualquer atividade suspeita deve ser imediatamente verificada e tomadas as ações corretivas necessárias.

7.10. Treinamento e Conscientização de Segurança da Informação

Cada gestor deve garantir que todos da GBackup e os fornecedores, ao iniciar a relação com a GBackup ou quando tiverem alteração significativa na responsabilidade do trabalho, recebam treinamento sobre aspectos de segurança da informação relacionados a sua função dentro de 30 dias do início do trabalho.

Os gestores devem assegurar que todos os colaboradores da GBackup e de fornecedores recebam anualmente material de conscientização aprovado pelo Comitê Corporativo sobre Segurança da Informação.

7.11. Auditoria

O processo de auditoria de verificação de conformidade dos sistemas existentes será executado semestralmente, ou a qualquer momento de acordo com a necessidade do negócio, para garantir que todas as partes estão executando corretamente as suas atividades e garantir que todos os outros requisitos de Segurança da Informação estão sendo constantemente observados. A auditoria poderá ser realizada por auditor externo ou equipe interna, seguindo a programação de auditoria estabelecida pelo Security Officer.

Observação: Neste processo será observada a independência do auditor com os processos a serem auditados.

O Security Officer deverá planejar a correção dos itens de não conformidade identificados nas auditorias com envolvimento das equipes responsáveis pelas não conformidades.

7.12. Grupo de Resposta a Incidentes de Segurança (GRIS)

Todas as áreas devem garantir que todos os produtos, serviços ou aplicativos sob gestão da GBackup, que usam a Internet para conexão ou comunicações, seguem o processo de avaliação de vulnerabilidade de aplicativos aprovado pelo Comitê Corporativo.

Problemas classificados como de alto risco, identificados em teste de vulnerabilidade, devem ser resolvidos antes que o produto, serviço ou aplicativo entre em produção ou que as atualizações sejam implantadas no ambiente de produção. O gestor responsável pelo produto, serviço ou aplicativo deve manter registro de todas as ações tomadas para resolver os problemas de alto risco identificados.

Os gestores da área de Tecnologia & Operações devem assegurar que, a cada mudança significativa e no mínimo anualmente, sejam realizados testes de vulnerabilidade dos componentes sob sua responsabilidade.

7.13. Produtos e Serviços de Gerenciamento da Segurança

Sistemas de detecção de invasão e demais produtos e serviços de segurança da informação só podem ser contratados se aprovados pelo Comitê Corporativo de Segurança da Informação.

Todos os alarmes de sistema associados a Segurança da Informação e eventos de segurança gerados sejam registrados e arquivados diariamente.

Quando ocorrer um Evento de Segurança, o Grupo de Resposta a Incidente de Segurança (GRIS) deve ser acionado através do processo e procedimento definidos pela área de Segurança da Informação.

Os controles da área TI devem assegurar que todas as conexões IP a Terceiros são protegidas por firewalls gerenciados pela Tecnologia & Operações ou ao menos submetidos a Diretoria de Segurança e Compliance.

8. Violações da Política e Sanções

Nos casos em que houver violação desta Política, as Normas e Procedimentos de Segurança da Informação, sanções administrativas e/ou legais poderão ser adotadas, podendo culminar o desligamento do profissional e ou eventuais processos criminais, se aplicáveis.

Qualquer caso de não cumprimento da política de segurança da informação da GBackup, por uma área, cliente ou fornecedor, deve ser documentado seguindo o processo correspondente definido pela área de Segurança da Informação. Deve e é necessário indicar a razão do não cumprimento/violação, os controles compensatórios dos riscos residuais relacionados, e deve ser aprovado tanto pelo membro do Comitê Executivo responsável pela área quanto pelo Diretor Executivo da GBackup.

No caso de um cliente optar por não cumprir algum padrão estabelecido pela GBackup, deve formalizar esta decisão através de um Termo de Sigilo e Confidencialidade onde estejam claras as responsabilidades e ônus da decisão.

9. Gestão de Continuidade de Negócios

O processo de gestão de continuidade de negócios da GBackup é estabelecido por um conjunto de políticas, normas e práticas operacionais que seguem os princípios da NBR ISO 22301, o objetivo do processo de gestão de continuidade de negócios é garantir que os processos críticos tenham continuidade, atendendo aos requisitos mínimos operacionais e evitando impactos nos negócios da GBackup e seus clientes

POLÍTICA DE PRIVACIDADE

A GBACKUP SOLUCOES DE ARMAZENAMENTO EM NUVEM LTDA (a “GBACKUP”) se comprometem em resguardar a privacidade e proteger os dados de todos os usuários e visitantes dos sites https://www.gbackup.com.br , https://www.gbackup.us e subdomínios a eles relacionados.

A presente Política de Privacidade possui a finalidade de demonstrar absoluta transparência e esclarecer aos usuários sobre os tipos de dados que são coletados, os motivos da coleta e a forma como a qual podem gerenciar ou excluir as suas informações pessoais.

O presente documento foi elaborado em conformidade com a Lei Geral de Proteção de Dados Pessoais (Lei 13.709/18). Ainda, o documento poderá ser atualizado em decorrência de eventual atualização normativa, razão pela qual se convida o usuário a consultar periodicamente esta seção.

A presente Política está dividida da seguinte forma:

1. Fontes de dados pessoais 2. Base legal para coleta de dados 3. Tipos de dados coletados 4. Direitos dos titulares dos dados 5. Período de armazenamento dos dados 6. Serviços de terceiros 7. Segurança 8. Mudanças na política de privacidade 9. Aceite do uso de dados

Fontes de dados pessoais

A quantidade e o tipo de informações coletadas pela GBACKUP variam conforme o uso que você faz dos serviços. Esta Política se aplica aos Dados Pessoais que coletamos de ou sobre você por meio das seguintes fontes:

1.1 Sites GBACKUP: Sites voltados para o consumidor e operados pela GBACKUP incluindo sites operados sob os próprios domínios/URLs GBACKUP e mini sites mantidos em redes sociais de terceiros.

1.2 Dados de interações: Dados de registros das interações com os sites e informações a respeito de todos os contatos já realizados com os usuários, independentemente do tipo de usuário que realizou o contato. Tais informações também incluem conteúdos baixados a partir de páginas e interações via e-mail, como abertura e cliques. Além disso, a GBACKUP poderá receber dados de interações com anúncios em site de terceiros/ redes sociais.

Todos os dados coletados são utilizados para a prestação dos serviços. Por isso, todos os dados e informações são tratados como confidenciais, e somente serão usados para os fins aqui descritos e autorizados pelo usuário.

Base legal para coleta de dados

Apenas formas autorizadas por lei são utilizadas como base legal de coleta de dados, sendo elas: o consentimento, o legítimo interesse e a regular execução dos contratos firmados. Quando a base legal para a coleta não for o consentimento, será observada a legislação vigente e os direitos e liberdades individuais dos titulares dos dados serão respeitados.

Tipos de dados coletados

Visitantes dos sites

Caso o usuário acesse os sites da GBACKUP, serão coletados dados de navegação através de um cookie identificador no navegador do usuário. Este cookie é utilizado para que se possa proporcionar uma melhor experiência ao usuário.

Cookies são identificadores transferidos para o navegador ou dispositivo do usuário, que permitem o reconhecimento do navegador ou dispositivo utilizado. Eles informam como e quando as páginas são visitadas, além de quantas pessoas acessaram determinada página ou website.

Esses dados são coletados automaticamente e armazenados em arquivos de registro sempre que o usuário visita o site. O usuário poderá optar por limitar, recusar ou desabilitar os cookies através das configurações do próprio navegador ou através do pop-up exibido nas páginas dos sites da GBACKUP. Ao fazer isso, algumas áreas do site podem não funcionar perfeitamente.

Ressalta-se ainda que, esta Política de Privacidade não cobre o uso de cookies por terceiros, sendo que a GBACKUP não se responsabiliza pelas políticas e práticas de privacidade de outros. Os cookies colocados por terceiros podem eventualmente continuar a monitorizar as atividades do usuário online mesmo depois de ter saído dos serviços da GBACKUP.

Leads dos Sites e Serviços da GBACKUP

Se o usuário interagir com os materiais e conteúdos da GBACKUP, serão coletados, além dos dados de navegação mencionados acima, os dados de visita às páginas, e demais informações que o usuário opte em compartilhar através das interações com os formulários, Landing Pages e e-mails.

Para a contratação dos serviços e/ou produtos, são coletados:

  • dados de contato (nome, e-mail e telefone);
  • dados de perfil profissional (cargo, empresa, segmento da empresa, número de funcionários da empresa);
  • dados locacionais (país, estado e cidade);
  • dados para fins de marketing (preferências e informações sobre a gestão de manutenção).

Para oferecer conteúdos e materiais direcionados ao interesse do usuário, é preciso realizar o cruzamento de dados que são coletados. A GBACKUP garante que esse cruzamento não é feito de forma discriminatória, respeitando todos direitos ou liberdades individuais dos usuários. O usuário pode a qualquer momento solicitar a alteração ou remoção de tais permissões de tratamento de dados, entrando em contato com a GBACKUP pelos principais canais de atendimento.

Os dados coletados poderão ser utilizados para:

  • Envio por e-mail do material requisitado no preenchimento do formulário;
  • Envio de Newsletters (relacionadas a temas sobre Backup, Segurança da Informação, Criptografia, Armazenamento em Nuvem e Tecnologia);
  • Comunicação sobre produtos, serviços, promoções, notícias, atualizações, e outros assuntos, direcionada aos gostos, interesses e outras informações coletadas dos usuários;
  • Colaboradores da GBACKUP poderão eventualmente entrar em contato via email ou telefone para apresentar produtos e serviços.

O usuário pode cancelar a assinatura dos e-mails a qualquer momento na barra inferior dos próprios e-mails recebidos ou entrando em contato com a GBACKUP pelos principais canais de atendimento disponíveis em https://www.gbackup.com.br/index.php?t=contato.

Direitos dos titulares dos dados

Os usuários possuem todos os direitos guardados sob a Lei Geral de Proteção de Dados (LGPD), às demais leis setoriais brasileiras relativas proteção de dados e a General Data Protection Regulation (GDPR), sendo eles: direito de acesso, direito de retificação, direito de exclusão, direito de confirmação sobre a existência de tratamento, direito de solicitar o bloqueio ou eliminação, direito à informação das entidades públicas ou privadas, direito de restringir o processamento, direito à revisão de decisão automatizada, direito de oposição a um tratamento, direito à explicação da lógica por trás da coleta dos seus dados, direito à informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa, direito de retirar o seu consentimento.

Caso o usuário venha a solicitar alguma informação sobre seus dados, talvez seja necessário solicitar informações específicas para ajudar a confirmar sua identidade e garantir seu direito de acesso ou de exercer seus outros direitos. Esta é uma medida de segurança que visa garantir que os dados pessoais não sejam divulgados a qualquer pessoa. As solicitações legítimas serão atendidas em até 5 (cinco) dias úteis.

Período de armazenamento dos dados

Os dados pessoais dos usuários e visitantes são armazenados durante o período necessário para a prestação do serviço ou o cumprimento das finalidades previstas no presente documento, conforme o disposto no inciso I do artigo 15 da Lei 13.709/18.

Os dados podem ser removidos ou anonimizados a pedido do usuário, exceto em casos em que a lei oferecer outro tratamento.

Ainda, os dados pessoais dos usuários apenas podem ser conservados após o término de seu tratamento nas seguintes hipóteses previstas no artigo 16 da referida lei:

  1. – cumprimento de obrigação legal ou regulatória pelo controlador;
  2. – estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
  3. – transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei;
  4. – uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.

Serviços de Terceiros

Alguns fornecedores terceiros contratados pela GBACKUP irão usar as informações dos usuários na medida do necessário para permitir que eles realizem os serviços fornecidos. Para esses fornecedores, recomenda-se que sejam consultadas suas próprias políticas de privacidade para maior entendimento sobre a maneira pela qual as informações pessoais serão usadas por eles.

Os dados pessoais dos usuários dos sites da GBACKUP poderão ser compartilhados com o fornecedor Google Brasil Internet Ltda (CNPJ 06.990.590/0001-23) e Bitrix Participações S/A (CNPJ 17.336.174/0001-22).

Os fornecedores podem ser localizados ou possuir instalações localizadas em países diferentes. Nessas condições, os dados pessoais transferidos podem se sujeitar às leis de jurisdições nas quais o fornecedor de serviço ou suas instalações estão localizados.

Ao acessar os serviços da GBACKUP e prover suas informações, o usuário está consentindo o processamento, transferência e armazenamento desta informação em outros países.

Ao ser redirecionado para um aplicativo ou site de terceiros, o usuário não será mais regido pela presente Política de Privacidade e a GBACKUP não se responsabiliza pelas práticas de privacidade de outros sites e incentiva a leitura das declarações de privacidade dos fornecedores aqui mencionados.

Segurança

A privacidade do usuário, bem como dos dados coletados, é garantida através de medidas de segurança e prevenção contra o acesso indevido de terceiros à essas informações, seguindo padrões rígidos de segurança e confidencialidade. Ainda assim, apesar de todos os esforços aplicados, nenhuma transmissão de dados por meio da rede internet ou outras redes públicas ou privadas são integralmente seguras. Por conseguinte, não há garantia que estas informações não serão indevidamente interceptadas por pessoal não autorizado e sem limitação por intermédio da ação de hackers. A GBACKUP não será responsável pela ocorrência de alguma interseção, acesso ou uso não autorizado dos dados, tampouco por qualquer tipo de dano direto, indireto, moral e lucro cessante sofrido pelos usuários.

Mudanças na Política de Privacidade

A presente Política de Privacidade pode passar por atualizações. Desta forma, recomendamos consultar periodicamente esta página para que você tenha conhecimento sobre as modificações.

Aceite do uso de dados

Os usuários e visitantes dos sites da GBACKUP reconhecem e concordam que a coleta e o uso dos dados citados neste documento não configuram nenhuma violação de seus direitos à privacidade e ao sigilo ou qualquer outro direito relacionado à proteção de dados pessoais. Nossos usuários estão cientes de que seus direitos de privacidade independem e não confundem com direitos de propriedade intelectual, direitos de imagem, direitos à honra e reputação e outros direitos de personalidade do usuário, e que, portanto, nem sempre as informações que o usuário fornecer à GBACKUP serão protegidas por esses direitos.

Este documento não revoga ou substitui outros instrumentos contratuais que tratem sobre confidencialidade e privacidade acordados diretamente entre as partes, em razão da celebração de parceria ou qualquer outro relacionamento comercial.

Ao fornecer os dados solicitados ou simplesmente utilizar nossos sites, o usuário estará automaticamente concordando com a coleta, uso, armazenamento e tratamento dos seus dados pessoais, nos termos aqui descritos.

Em caso de dúvidas ou necessidade de esclarecimentos adicionais, o usuário deverá utilizar os canais de atendimento disponibilizados e descritos em https://www.gbackup.com.br/index.php?t=contato .