POLÍTICA DE PRIVACIDADE E SEGURANÇA DE DADOS

 

SUMÁRIO

 

  1. INTRODUÇÃO 

Por meio da presente Política de Segurança e Privacidade, a REFRASUL INDÚSTRIA E COMÉRCIO DE REFRATÁRIOS LTDA (doravante referida apenas como “REFRASUL”) disciplina as práticas destinadas a assegurar a integridade e segurança de seus dados pessoais por ela tratados e a observância ao que estabelecido pela Lei Geral de Proteção de Dados Pessoais – LGPD. 

Para assegurar regras claras e precisas, esta Política pode ser alterada de tempos em tempos, e sendo assim, recomenda-se sua leitura periodicamente.

  1. OBJETIVO

Esta Política tem por objetivo estabelecer os conceitos e diretrizes que devem ser observados pelos(as) empregados(as), estagiários(as), fornecedores(as), prestadores(as) de serviço e visitantes da REFRASUL no intuído de assegurar a adoção de comportamentos seguros e adequados quando da realização do tratamento de dados, com ênfase às medidas de proteção, privacidade e segurança da informação no tratamento de dados pessoais de todos os titulares de dados. 

  1. ESCOPO

Esta Política é aplicável a todos(as) os(as) empregados(as), estagiários(as), fornecedores(as), prestadores(as) de serviço e visitantes da REFRASUL.

Qualquer pessoa física ou jurídica que tenha tido, atualmente tenha ou venha a ter acesso a quaisquer dados tratados pela REFRASUL, em qualquer tempo e independentemente da forma, estará sujeito ao que determinado na presente política e nos demais documentos a ela relacionados. 

  1. CONCEITOS

Sempre que forem utilizados nesta política, em normas internas, em procedimentos e/ou em orientações relacionadas ao tratamento de dados pessoais, os termos abaixo relacionados terão os seguintes significados:

  • dado pessoal: informação relacionada a pessoa natural identificada ou identificável;

 

  • dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

 

  • dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;

 

  • banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;

 

  • titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

 

  • controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

 

  • operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

 

  • encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD); 

 

  • agentes de tratamento: o controlador e o operador;

 

  • tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

 

  • anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;

 

  • bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;

 

  • eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;

 

  • uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;

 

  • confidencialidade: garantia de que o acesso aos dados seja efetuado apenas pelas pessoas físicas e/ou jurídicas autorizadas; e

 

 

  • LGPD: Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018).

 

 

  1. PRINCÍPIOS

Conforme definição acima, dados pessoais se referem a pessoa física identificada ou identificável. Nome, CPF, RG, endereço residencial, número de telefone, idade e endereço de IP (protocolo de internet) são exemplos de dados pessoais. 

 

Além de autorizado pelas hipóteses previstas na LGPD, o tratamento de dados pessoais por parte da REFRASUL observa a boa-fé e os seguintes princípios: 

 

  • finalidade: a REFRASUL realiza o tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, não realizando o tratamento de forma incompatível com essas finalidades;

 

  • adequação: a REFRASUL realiza o tratamento de dados de modo compatível com as finalidades informadas ao titular; 

 

  • necessidade: a REFRASUL limita o tratamento de dados ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

 

  • livre acesso: a REFRASUL garante aos titulares consulta facilitada sobre a forma e a duração do tratamento, bem como sobre a respectiva integralidade;

 

  • qualidade dos dados: a REFRASUL garante aos titulares a exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

 

  • transparência: a REFRASUL garante aos titulares informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

 

  • segurança: a REFRASUL utiliza medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

 

  • prevenção: a REFRASUL adota medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais; e

 

  • não discriminação: a REFRASUL não permite o tratamento de dados para fins discriminatórios ilícitos ou abusivos.

 

  1. TRATAMENTO DE DADOS PESSOAIS PELA REFRASUL

Considerando o objeto de sua atividade econômica, a REFRASUL necessita realizar o tratamento de dados de pessoas com quem mantém alguma forma de relação, ainda que indiretamente, para o cumprimento de obrigações legais e/ou regulatórias, para a execução de contratos ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, para o exercício regular de direitos em processos judiciais, administrativos ou arbitrais, para a proteção da vida ou da incolumidade física do titular ou de terceiros e para a proteção do crédito, observando, sempre que exigido por lei, o consentimento do respectivo titular dos dados. 

  1. COMPARTILHAMENTO DOS DADOS PESSOAIS

Os dados pessoais tratados pela REFRASUL poderão ser compartilhados com clientes, prestadores de serviços, entidades governamentais, Poder Judiciário, bancos, seguradoras, empresas de planos de saúde, entre outros terceiros, quando necessário para a execução de contrato, para cumprimento de obrigação legal ou regulatória, para o exercício regular de direitos em processo judicial, administrativo ou arbitral, para a proteção da vida ou da incolumidade física do titular ou de terceiro. 

 

  1. DIREITOS DOS TITULARES 

 

Os(as) titulares dos dados pessoais tratados pela REFRASUL tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:

 

  • confirmação da existência de tratamento;

 

  • acesso aos dados;

 

  • correção de dados incompletos, inexatos ou desatualizados;

 

  • anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;

 

  • quando aplicável, a portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;

 

  • eliminação dos dados pessoais tratados com o consentimento do titular, ressalvadas as hipóteses de conservação previstas na LGPD;

 

  • informação das entidades públicas e privadas com as quais a REFRASUL realizou uso compartilhado de dados;

 

  • informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;

 

  • revogação do consentimento.

 

8.1 Dos meios para requisição de informações, dados e exercícios de direitos pelos titulares de dados pessoais tratados pela REFRASUL

As informações e os dados requisitados poderão ser fornecidos, a critério do(a) titular dos dados: 

  • por meio eletrônico, seguro e idôneo para esse fim; ou 

 

  • sob forma impressa.

 

As reclamações e petições do(a) titular a respeito de seus dados pessoais deverão ser encaminhadas diretamente para o e-mail privativo@refrasul.com.br ou entregues diretamente ao encarregado de dados da REFRASUL, o qual entregará ao titular cópia do documento apresentado, com carimbo de recibo e data de apresentação.

 

No caso de quaisquer dúvidas a respeito do tratamento adequado dos seus dados pessoais, bem como sobre os meios e formas para apresentação de reclamações e petições, o(a) empregado(a) também poderá consultar o(a) encarregado(a) de dados da empregadora para que lhe possa prestar esclarecimentos e adotar providências cabíveis, inclusive o fornecimento de modelos de petições para preenchimento pelo(a) empregado(a).

As informações e os dados requisitados serão fornecidos, pelo meio escolhido pelo(a) empregado(a), no prazo de até 15 (quinze) dias. 

 

  1. SEGURANÇA DA INFORMAÇÃO

9.1 Uso Aceitável de Ativos de Informação

9.1.1 Uso de equipamento computacional

A REFRASUL disponibiliza para seus usuários equipamentos para o desempenho exclusivamente de suas atividades contratuais.

Todo usuário deve observar as seguintes disposições quanto ao uso de equipamentos de propriedade da REFRASUL:

  • os equipamentos fornecidos com o objetivo específico de permitir aos usuários desenvolverem suas atividades contratuais são de propriedade da REFRASUL, sendo proibida a utilização para fins particulares;

 

  • os usuários são proibidos de realizar qualquer tipo de manutenção ou modificação nos equipamentos de propriedade da REFRASUL, competindo exclusivamente a esta autorizar as pessoas que poderão realizar alterações e/ou a manutenção de quaisquer seus equipamentos;

 

  • a utilização dos equipamentos da REFRASUL deve observar os cuidados necessários para garantir sua preservação e seu funcionamento adequado; 

 

  • é terminantemente proibida a instalação e/ou execução de jogos, bem como de programas com qualquer conteúdo informático de origem duvidosa, com conteúdo pornográfico, violento e/ou ilegal; 

 

  • é terminantemente proibida a instalação e/ou execução de programas ou ferramentas cuja finalidade seja burlar qualquer sistema de controle de acesso da REFRASUL;

 

  • é terminantemente proibida a instalação e/ou execução de programas ou ferramentas cuja finalidade seja burlar qualquer sistema de controle de acesso da REFRASUL;

 

  • computadores de mesa ou móveis (notebooks) devem ser desligados no final do expediente e/ou sempre que um usuário estiver ausente por um período prolongado, excetuando-se quando existir uma justificativa plausível em virtude de atividades de trabalho;

 

  • a desconexão (log off) da rede sempre deverá ser realizada nos casos em que o usuário não for mais utilizar o equipamento ou venha a ausentar-se por um período prolongado;

 

  • o bloqueio de tela protegido por senha deverá ser ativado sempre que o usuário se afastar do computador de mesa ou móvel que esteja utilizando;

 

  • ao final da relação contratual, os equipamentos disponibilizados pela REFRASUL devem ser devolvidos em estado de conservação adequado; e

 

  • no caso de danos causados aos equipamentos disponibilizados por dolo ou culpa do usuário, a REFRASUL poderá adotar as medidas cabíveis para exercer seu direito de reparação do respectivo prejuízo.

A REFRASUL, a seu exclusivo critério, poderá autorizar a utilização de equipamentos particulares dos usuários para o desempenho das respectivas atividades contratuais, podendo, nestes casos, ser exigida prévia por inspeção dos equipamentos de modo a garantir adequação aos requisitos e controles de segurança adotados. 

A conexão de equipamentos particulares na rede administrativa da REFRASUL, seja em segmentos cabeados ou sem fio, depende de prévia autorização pelo diretor.

9.1.2 Dispositivos externos ou de armazenamento removível 

A REFRASUL poderá, a seu critério exclusivo, disponibilizar para seus usuários dispositivos móveis ou com capacidade de armazenamento removível para execução de atividades contratuais, devendo o usuário observar, além das disposições acima, as seguintes diretrizes:

 

  • o usuário é o responsável pela segurança física e lógica dos dispositivos móveis sob sua guarda, pelo que os mesmos não devem ficar fora de seu alcance em locais públicos e/ou onde haja acesso não controlado de pessoas;

 

  • durante os deslocamentos, o usuário deverá estar alerta e ter uma conduta discreta;

 

  • é proibido deixar os dispositivos móveis desacompanhado em veículos;

 

  • a instalação de ferramentas de proteção para dispositivos móveis é realizada mediante a autorização do diretor da REFRASUL e é obrigatória para todos os equipamentos da REFRASUL; e

 

  • no caso de perda ou furto de dispositivo de armazenamento removível, o usuário deve comunicar imediatamente o diretor da REFRASUL para que possam ser tomadas as medidas cabíveis.

9.1.3 Dispositivos externos ou de armazenamento removível de origem particular

A REFRASUL poderá, a seu critério, permitir a utilização de dispositivos externos de propriedade particular do usuário exclusivamente para o desempenho de atividades contratuais, podendo, nestes casos, exigir prévia inspeção pelo controlador, que emitirá uma autorização para uso de dispositivo externo particular, a qual deverá ser portada pelo usuário.

 

A solicitação para autorização de uso implica em renúncia, por parte do usuário, a privacidade de suas informações armazenadas no respectivo dispositivo particular, aceitando, assim, que os respectivos dados e informações sejam auditados pelo controlador a qualquer momento. 

 

A autorização para uso poderá ser suspensa, a qualquer momento, a critério da REFRASUL.

9.1.4 Armazenamento remoto (nuvem)

É proibido o uso de armazenamento em nuvem que não seja a oficialmente adotada pela REFRASUL.

9.1.5 Identificação digital 

Dependendo da especificidade da atividade profissional desempenhada pelo usuário, a REFRASUL, poderá, a seu critério exclusivo, disponibilizar certificados digitais o respectivo exercício, caso em que o usuário deverá observar as seguintes diretrizes:

  • compete ao usuário a conservação de seu certificado digital, independentemente do equipamento que o suporte, bem como de qualquer tipo de senha ou meio de autenticação relacionado ao mesmo;

 

  • o usuário deverá informar a REFRASUL, sobre quaisquer incidentes ou suspeitas relativas ao comprometimento de sua senha e/ou o uso indevido de seu certificado digital; e

 

  • no caso de extinção da relação contratual com a REFRASUL, o usuário terá o certificado digital imediatamente revogado.

9.1.6 Equipamentos de impressão e reprografia 

O uso de equipamentos de impressão e reprografia (fotocopiadoras) deve ser feito exclusivamente para a impressão/reprodução de documentos que sejam de interesse da REFRASUL ou que estejam relacionados com o desempenho das atividades contratuais do usuário, o qual deve observar as seguintes diretrizes:

  • o usuário deve retirar imediatamente da impressora ou fotocopiadora os documentos que tenha solicitado a impressão, transmissão ou cópia;

 

  • a impressão ou cópia de documento em suporte físico deve ser limitada à quantidade exata necessária para a tarefa determinada; e

 

  • é proibido o reaproveitamento de páginas já impressas contendo informações classificadas como confidenciais, sigilosas e/ou com dados pessoais.

9.1.7 Segurança física  

As instalações de processamento das informações da REFRASUL serão mantidas em áreas seguras, com perímetro fisicamente isolado contra o acesso não autorizado e danos advindos de interferências de origem humana ou natural.

O usuário deve observar as seguintes disposições específicas quanto à segurança física:

  • crachás de identificação, inclusive temporários, são pessoais e intransferíveis;

 

  • excetuando-se quando formalmente autorizado, terceiros nunca devem ser deixados sozinhos em áreas sensíveis;
  • é terminantemente proibida qualquer tentativa de se obter ou permitir o acesso a indivíduos não autorizados a áreas sensíveis da REFRASUL;
  • é resguardado a REFRASUL, o direito de inspecionar malas, maletas, mochilas e similares, assim como quaisquer equipamentos, incluindo dispositivos móveis, antes de permitir a entrada ou saída de colaboradores ou terceiros de áreas sensíveis;
  • é resguardado a REFRASUL o direito de monitorar seus ambientes físicos, por meio de câmeras de vídeo, sendo as imagens armazenadas e protegidas contra qualquer tipo de exposição e/ou manipulação indevida;

 

  • os documentos classificados como internos, confidenciais, sigilosos e os que contenham dados pessoais sensíveis, após manuseados, não deverão ser deixados expostos em cima de mesas, pelo que cabe ao usuário, ao se ausentar, o dever de mantê-los guardados ou descartá-los, após devidamente fragmentados;

 

  • é proibido o consumo de quaisquer alimentos, ingerir bebidas ou fumar em áreas apontadas como sensíveis.

9.2 Acesso a ativos e sistemas de informação

A REFRASUL disponibiliza para pessoas autorizados e exclusivamente para o exercício das respectivas atividades contratuais contas de acesso que permitem o uso de ativos de informação, sistemas de informação e recursos computacionais como, por exemplo, a sua rede corporativa.

Toda conta de acesso é pessoal do usuário, pelo que intransferível. Desta forma, o usuário é responsável por sua utilização, respondendo por qualquer violação ou ato irregular/ilícito, mesmo que exercido por outro indivíduo e/ou organização a quem usuário tenha possibilitado acesso.

Os usuários deverão adotar medidas de prevenção para garantir o acesso seguro a ativos e serviços de informação e observar que:

 

  • não é permitido anotar ou registrar senhas de acesso em qualquer local, exceto nas ferramentas oficialmente fornecidas pela REFRASUL;

 

  • não é permitido utilizar sua conta, ou tentar utilizar qualquer outra conta, para violar controles de segurança estabelecidos pela REFRASUL;

 

  • não é permitido compartilhar a conta de acesso e senha com outro usuário, colaborador e/ou terceiro; e

 

  • deve informar imediatamente a direção da REFRASUL caso identifique qualquer falha ou vulnerabilidade que permita a utilização não autorizada de ativos de informação, sistemas e/ou recursos computacionais da não é permitido.

Qualquer utilização não autorizada ou tentativa de utilização não autorizada de credenciais e senhas de acesso a ativos/serviços de informação ou recursos computacionais será tratada como um incidente de segurança da informação, cabendo uma análise da infração pelo diretor da REFRASUL e aplicação das sanções e punições aplicáveis, conforme a gravidade da violação.

9.2.1 Senha de acesso

As senhas associadas às contas de acesso a ativos/serviços de informação ou recursos computacionais da REFRASUL são de uso pessoal, desta forma, e intransferíveis, devendo o respectivo usuário zelar por sua guarda e sigilo. 

A REFRASUL adota os seguintes padrões para geração de senhas de acesso a seus ativos/serviços de informação ou recursos computacionais:

  • a REFRASUL será responsável por fornecer senhas de acesso inicial ao usuário, que deverá proceder com a troca imediata da mesma;

Ao criar uma nova senha, os usuários devem estar atentos as seguintes diretrizes:

  • não utilizar nenhuma parte de sua credencial na composição da senha;

 

  • não utilizar qualquer um de seus nomes, sobrenomes, nomes de familiares, colegas de trabalho ou informação a seu respeito de fácil obtenção como, por exemplo, placa do carro, data de aniversário, ou endereço;

 

  • não utilizar repetição ou sequência de caracteres, números ou letras, qualquer parte ou variação do nome REFRASUL; e

 

  • qualquer variação dos itens descritos acima como duplicação ou escrita invertida.

9.3 Acesso à internet  

A REFRASUL disponibiliza acesso à Internet aos seus usuários autorizados para o exercício de suas atividades contratuais através da rede corporativa e da disponibilização de serviços de Internet móvel, prestados por terceiros.

Toda informação que é acessada, transmitida, recebida ou produzida através do acesso à internet disponibilizado pela REFRASUL está sujeita a monitoramento, não cabendo, assim, ao usuário qualquer expectativa de privacidade.

Em decorrência da finalidade do acesso permitido e do monitoramento realizado, a REFRASUL poderá, sem qualquer notificação ou aviso prévio ao usuário, interceptar, registrar, ler, copiar e divulgar por, ou para, pessoas autorizadas para finalidades oficiais, incluindo investigações criminais, toda informação trafegada, seja originada de sua rede interna e destinada a redes externas ou o contrário.

Ao fazer uso da Internet fornecida pela REFRASUL, o usuário deve observar que não será permitido o download, o upload, a inclusão, a disponibilização, a visualização, a edição, a instalação, o armazenamento e/ou a cópia de qualquer conteúdo relacionado expressa ou subjetivamente, direta ou indiretamente, com:

 

  • qualquer espécie de exploração sexual;

 

  • qualquer forma de conteúdo adulto, erotismo, pornografia;

 

  • qualquer forma de ameaça, chantagem e assédio moral ou sexual;

 

  • qualquer ato calunioso, difamatório, infamante, vexatório, aviltante ou atentatório à moral e aos bons costumes da sociedade;

 

  • preconceito baseado em cor, sexo, opção sexual, raça, origem, condição social, crença, religião, deficiências e necessidades especiais;

 

  • incentivo ao consumo excessivo ou recorrente de bebidas alcoólicas, fumo e substâncias entorpecentes, sejam essas lícitas ou não;

 

  • a prática e/ou a incitação de crimes ou contravenções penais;

 

  • a prática de propaganda política;

 

  • a prática de quaisquer atividades comerciais desleais;

 

  • o desrespeito a imagem ou aos direitos de propriedade intelectual e industrial da REFRASUL e/ou de seus parceiros comerciais;

 

  • a disseminação de códigos maliciosos e ameaças virtuais;

 

  • tentativa de expor a infraestrutura computacional da REFRASUL a ameaças virtuais;

 

  • divulgação não autorizada de qualquer informação da REFRASUL classificada como confidencial ou de uso interno; e

 

  • uso de sites ou serviços que busquem contornar controles de acesso à internet.

 

  1. Comportamento de titulares de dados pessoais em ambiente corporativo 

 

Empregados(as), estagiários(as), fornecedores(as), prestadores(as) de serviço e visitantes devem se abster de condutas que possam expor desnecessariamente seus dados pessoais no ambiente de trabalho e/ou realizar o arquivamento e/ou compartilhamento desnecessário de seus dados pessoais por meio de quaisquer instrumentos da REFRASUL.

 

9.5 Comportamento corporativo em mídias e redes sociais

A publicação de conteúdo referente a REFRASUL em mídias e redes sociais é realizada exclusivamente pelos usuários que possuem essa responsabilidade específica, sendo, assim, proibido aos demais usuários publicar qualquer tipo de informação em nome da REFRASUL.

Ao fazer uso de suas mídias e redes sociais particulares, empregados(as), estagiários(as), prestadores de serviço e terceiros contratados devem observar as seguintes restrições:

  • é terminantemente proibida a publicação e/ou compartilhamento de quaisquer dados pessoais tratados pela REFRASUL;
  • é proibido o uso da logomarca, bem como de qualquer parte da identidade visual da REFRASUL sem autorização prévia e expressa;
  • é proibida a criação, participação ou interação de/com quaisquer perfis, comunidades, grupos, tópicos de discussão e afins que empreguem o nome, marca ou outros sinais distintivos da REFRASUL, excetuando-se os canais oficiais da empresa; e
  • é proibida a publicação e/ou compartilhamento de qualquer tipo de imagem, foto, vídeo, áudio relacionado ao ambiente corporativo da REFRASUL sem a expressa autorização da organização, excetuando-se material divulgado em canais oficiais.

9.6 E-mail

A REFRASUL fornece o serviço de e-mail para seus usuários autorizados exclusivamente para o desempenho de suas atividades contratuais.

Para o desempenho de suas atividades contratuais relacionadas à REFRASUL, não é permitido o uso de qualquer serviço de e-mail, que não seja o oficialmente fornecido pela REFRASUL.

Ao fazer uso do serviço de e-mail fornecido pela REFRASUL, o usuário deve observar que:

  • é proibida a utilização do serviço de e-mail em caráter pessoal ou para fins que não sejam de interesse da REFRASUL;

 

  • é proibida a utilização de termos ou palavras de baixo calão na redação de mensagens;

 

  • é proibido o envio de informações classificadas como de USO INTERNO ou CONFIDENCIAL para endereços eletrônicos que não fazem parte do domínio corporativo da REFRASUL, excetuando-se quando expressamente autorizados;

 

  • é proibido inscrever o endereço de e-mail da REFRASUL em listas de distribuição e grupos de discussão que não estejam relacionadas com atividades laborais ou do interesse da organização;

 

  • não é permitido o uso de qualquer técnica de falsificação ou simulação de falsa identidade e manipulação de cabeçalhos de e-mail. Qualquer tentativa, mesmo não consumada, será tratada como um incidente de segurança da informação e estará sujeita à investigação por parte da direção da REFRASUL e as penalidades aplicáveis;

 

  • é proibido tentar a interceptação ou alteração do conteúdo da mensagem de outros usuários ou terceiros, a menos que devidamente autorizado;

 

  • é proibida a utilização do serviço de e-mail para o envio de mensagens indesejadas (spam) ou qualquer tipo de técnica que possa levar a sobrecarga do serviço de e-mail;

 

  • é proibida a utilização do serviço de e-mail para disseminar ou transmitir mensagens de caráter injurioso, calunioso ou que possam ferir a legislação em vigor; e

 

  • é proibida a utilização do serviço de e-mail para o envio de mensagens cujo conteúdo incite uso de drogas, terrorismo, práticas subversivas, violência, aborto, práticas racistas, assim como qualquer outro que possa infringir a legislação vigente.

 

O serviço de e-mail da REFRASUL é continuamente monitorado para verificação da adequação do respectivo uso, não cabendo, assim, ao usuário qualquer expectativa de privacidade quanto ao respectivo uso.

 

Em razão da finalidade do e-mail disponibilizado e do monitoramento realizado, a REFRASUL poderá, sem qualquer notificação ou aviso prévio ao usuário, interceptar, registrar, ler, copiar e divulgar por, ou para, pessoas autorizadas para finalidades oficiais, incluindo investigações criminais todas as mensagens enviadas ou recebidas pelos usuários através de seu serviço de e-mail.

 

A REFRASUL adota um padrão para criação dos endereços de e-mail, sendo composto @refrasul.com.br, conforme exemplo a seguir: refrasul@refrasul.com.br

Os endereços de e-mail coincidentes ou que possam resultar em cacofonias e/ou situações vexatórias, poderão ser alterados para seguir um modelo fora do padrão adotado pela REFRASUL.

Os usuários do serviço de e-mail da REFRASUL devem adotar a assinatura padrão, formatada de acordo com o seguinte modelo: @refrasul.com.br

Ao final do e-mail fornecido pela REFRASUL, deverá ser exibido, após a assinatura do usuário, o seguinte aviso de confidencialidade:

“Esta mensagem, juntamente com qualquer outra informação anexada, é confidencial e protegida por lei, e somente os seus destinatários são autorizados a usá-la. Caso a tenha recebido por engano, por favor, informe o remetente e em seguida apague a mensagem, observando que não há autorização para armazenar, encaminhar, imprimir, usar, copiar o seu conteúdo.”

9.7 Serviços de Comunicadores instantâneos

A REFRASUL disponibiliza a utilização de comunicadores instantâneos para seus usuários autorizados exclusivamente para o desempenho de suas atividades contratuais.

No desempenho das respectivas atividades relacionadas à REFRASUL, é proibido o uso de qualquer serviço de comunicadores instantâneos que não sejam os oficialmente permitidos pela REFRASUL.

Ao fazer uso do serviço de comunicadores instantâneos disponibilizados pela REFRASUL, o usuário deve observar que:

  • não é permitida a utilização do serviço de comunicadores instantâneos em caráter pessoal ou para fins que não sejam de interesse da REFRASUL;

 

  • não é permitida a utilização de termos ou palavras de baixo calão na redação de mensagens;

 

  • não é permitida a utilização enviar informação classificada como de USO INTERNO ou CONFIDENCIAL para pessoas ou entidades que não fazem parte do domínio corporativo da REFRASUL, excetuando-se quando expressamente autorizados;

 

  • não é permitida fazer uso de qualquer técnica forja ou simulação de falsa identidade. Qualquer tentativa, mesmo não consumada, será tratada como um incidente de segurança da informação e estará sujeita à investigação por parte da direção REFRASUL e as penalidades aplicáveis;

 

  • não é permitida a interceptação ou alteração do conteúdo da mensagem de outros usuários ou terceiros, a menos que devidamente autorizado;

 

  • não é permitida utilização do serviço de comunicadores instantâneos para o envio de mensagens indesejadas (SPAM) ou qualquer tipo de técnica que possa levar a sobrecarga do serviço de comunicadores instantâneos; e

 

  • não é permitida a utilização do serviço de comunicadores instantâneos para disseminar ou transmitir mensagens de caráter injurioso, calunioso ou que possam ferir a legislação em vigor.

 

O usuário é o exclusivo responsável pelo uso inadequado de sua conta no serviço de comunicação instantânea, não sendo permitido o envio de mensagens cujo conteúdo incite uso de drogas, terrorismo, práticas subversivas, violência, aborto, práticas racistas, assim como qualquer outro que possa infringir a legislação vigente.

O serviço de comunicadores instantâneos da REFRASUL é continuamente monitorado para verificação da adequação do respectivo uso, não cabendo ao usuário qualquer tipo de expectativa de privacidade quanto ao respectivo uso.

O monitoramento do serviço de comunicadores instantâneos da REFRASUL tem como objetivos proteger a organização, atestar o respeito às regras contidas nessa norma, bem como produzir evidências relativas à eventual violação das mesmas e/ou à legislação em vigor.

Em razão da finalidade do e-mail disponibilizado e do monitoramento realizado, a REFRASUL poderá, sem qualquer notificação ou aviso prévio ao usuário, monitorar, interceptar, registrar, ler, bloquear, redirecionar, retransmitir, copiar e divulgar por, ou para, pessoas autorizadas para finalidades oficiais, incluindo investigações criminais todas as mensagens enviadas ou recebidas pelos usuários através de seu serviço de comunicadores instantâneos.

9.8 Proteção contra códigos maliciosos

Apenas as ferramentas disponibilizadas pela REFRASUL devem ser utilizadas para proteção dos ativos/serviços de informação e recursos computacionais, incluindo estações de usuários, dispositivos móveis e servidores corporativos, contra ameaças e códigos maliciosos, malwares, ferramentas de captura de tela e dados digitados, softwares de propaganda e similares.

 

Atualmente, a ferramenta de proteção contra códigos maliciosos disponibilizada pela REFRASUL adota as seguintes regras de uso:

 

  • atualização em tempo real do arquivo de assinaturas de códigos maliciosos e varredura diária em estações de usuários e servidores corporativos;

 

  • as varreduras diárias devem analisar todos os arquivos em cada uma das unidades de armazenamento locais das estações de usuários e dispositivos móveis;

 

  • as varreduras diárias em servidores corporativos podem ser limitadas a pastas ou arquivos específicos, de modo a evitar o comprometimento do desempenho de recursos computacionais críticos;

 

  • as funções de proteção em tempo real e detecção com base no comportamento devem estar habilitadas para todas as estações de usuários e dispositivos móveis; e

 

  • sites, serviços e arquivos baixados da internet detectados como possíveis ameaças serão automaticamente bloqueados em estações de usuários, dispositivos móveis e servidores corporativos.

Caso uma estação ou dispositivo móvel esteja infectado ou com suspeita de infecção por código malicioso, deverá ser imediatamente isolado da rede corporativa da REFRASUL e de qualquer comunicação com a internet.

Caso algum servidor corporativo esteja infectado ou com suspeita de infecção por código malicioso, deverão ser adotadas medidas para garantir o isolamento do mesmo da rede corporativa e da internet, levando em consideração o impacto da desativação dos serviços publicados no referido servidor.

9.8.1 Prevenção dos usuários contra códigos maliciosos

Independentemente da existência de ferramentas para proteção contra códigos maliciosos, os usuários devem adotar um comportamento seguro, evitar condutas que aumente o risco de infecção ou propagação de códigos maliciosos, bem como observar as seguintes diretrizes para proteção contra códigos maliciosos:

  • não tentar realizar o tratamento e correção de códigos maliciosos por iniciativa própria;

 

  • reportar imediatamente a REFRASUL qualquer infecção ou suspeita de infecção por código malicioso;

 

  • não desenvolver, testar ou armazenar qualquer parte de um código malicioso de qualquer tipo, a menos que expressamente autorizado;

 

  • efetuar uma varredura com a ferramenta de proteção contra códigos maliciosos disponibilizada pela REFRASUL antes de utilizar arquivos armazenados em mídias removíveis, baixados da internet ou recebidos nos serviços de e-mail ou comunicadores instantâneos;

 

  • não habilitar MACROS para arquivos recebidos de fontes suspeitas, baixados da internet ou recebidos nos serviços de e-mail ou comunicadores instantâneos. 

9.9 Uso de equipamentos computacionais pessoais no ambiente corporativo

A REFRASUL disponibiliza todos os recursos computacionais necessários para que seus colaboradores executem suas atividades laborais, pelo que, a seu exclusivo critério, poderá permitir o uso de dispositivos de computação pessoais para execução das respectivas atividades contratuais.

A permissão para o uso de dispositivos de computação pessoais é uma prerrogativa da diretoria da REFRASUL, devendo o usuário estar formalmente autorizado e concordar integralmente com os termos da presente política, antes de fazer uso de dispositivos pessoais no ambiente corporativo.

O uso não autorizado de qualquer dispositivo de computação pessoal no ambiente corporativo será tratada como um incidente de segurança da informação e estará sujeito à investigação por parte da direção REFRASUL e as penalidades aplicáveis.

A REFRASUL não será responsável por fornecer suporte, atualização, manutenção, reposição de peças, licenciamento de softwares, reembolso ou cobrir qualquer tipo de custo referente ao uso de dispositivos pessoais.

O uso de dispositivos de computação pessoal usuário não altera a propriedade da REFRASUL sobre as informações criadas, armazenadas, enviadas, recebidas, modificadas ou excluídas.

Quando autorizados a fazer uso de dispositivos de computação pessoais, os usuários serão inteiramente responsáveis por garantir a segurança de seus dispositivos, devendo garantir que:

  • os respectivos sistemas operacionais estejam sempre atualizados e com todas as correções/melhorias de segurança aplicadas;

 

  • os dispositivos possuam ferramenta para prevenção de códigos maliciosos e garantam que as assinaturas de códigos maliciosos sejam atualizadas em tempo real e executem varreduras diariamente;

 

  • dispositivos de computação pessoal utilizem apenas softwares licenciados.

9.10 Acesso Remoto

O acesso remoto a ativos/serviços de informação e recursos computacionais da REFRASUL é estritamente restrito aos usuários que necessitem deste recurso para execução das atividades contratuais.

A realização do acesso remoto, fora do expediente normal de trabalho, não implicará no pagamento de horas extras ao usuário, excetuando-se casos em que for comprovada a solicitação do trabalho pelo gestor do usuário ou parte autorizada.

O usuário será o único responsável por toda ação executada com suas credenciais de acesso remoto, incluindo qualquer atividade não autorizada exercida por terceiros de posse de suas credencias de acesso remoto.

O acesso remoto a ativos/serviços de informação e recursos computacionais da REFRASUL será concedido com os privilégios mínimos necessários para execução de suas atividades contratuais.

Os equipamentos utilizados para acesso remoto devem possuir ferramentas contra códigos maliciosos e firewall local ativo.

Na hipótese de acesso não autorizado, extravio, furto ou roubo de dispositivos computacionais que possuam o acesso remoto ao ambiente da REFRASUL, o usuário deverá comunicar imediatamente o ocorrido ao diretor da REFRASUL.

Quando estritamente necessário, o acesso remoto a ativos/serviços de informação e recursos computacionais da REFRASUL poderá ser concedido a terceiros ou prestadores de serviço, caso em que as seguintes diretrizes deverão ser observadas:

  • o acesso remoto de terceiros e prestadores de serviço a ativos/serviços de informação ou recursos computacionais da REFRASUL apenas poderá ser concedido após a efetivação do acordo de confidencialidade entre as partes;

 

  • o usuário terceiro, bem como a empresa onde o mesmo trabalha, serão os únicos responsáveis por toda ação executada com suas credenciais de acesso remoto, incluindo qualquer atividade não autorizada exercida por outras partes de posse de suas credencias de acesso remoto;

 

  • o acesso remoto de terceiros a ativos/serviços de informação e recursos computacionais da REFRASUL será concedido com os privilégios mínimos necessários para execução de suas atividades laborais;

 

  • equipamentos computacionais utilizados por terceiros para acesso remoto devem possuir ferramentas para proteção contra códigos maliciosos aderentes às diretrizes da REFRASUL e firewall local ativo;

 

  • em casos de acesso não autorizado, extravio, furto ou roubo de dispositivos computacionais de terceiros que possam o acesso remoto ao ambiente da REFRASUL habilitado, o usuário responsável deverá informar imediatamente o ocorrido a equipe de segurança da informação.

Toda informação que é acessada, transmitida, recebida ou produzida através do acesso remoto envolvendo recursos computacionais da REFRASUL está sujeita a monitoramento, não cabendo, assim, ao usuário qualquer expectativa de privacidade 

Em razão do monitoramento do acesso remoto envolvendo seus recursos computacionais, a REFRASUL poderá, sem qualquer notificação ou aviso prévio ao usuário, interceptar, registrar, ler, copiar e divulgar por, ou para, pessoas autorizadas para finalidades oficiais, incluindo investigações criminais, toda informação trafegada, seja originada de sua rede interna e destinada a redes externas ou o contrário.

9.11 Monitoramento de ativos

9.11.1 Monitoramento de ativos da informação e recursos computacionais

Qualquer ativo/serviço de informação ou recurso computacional da REFRASUL, assim como qualquer outro recurso computacional com acesso aos mesmos, poderá ser objeto de monitoramento a qualquer momento.

Todos os ativos/serviços de informação, recursos computacionais da REFRASUL, bem como toda informação trafegada ou armazenada nos mesmos, incluindo conta de e-mail corporativa e a navegação em sites e serviços da Internet, estão sujeitos à monitoração, não constituindo qualquer violação à intimidade, vida privada, honra ou imagem da pessoa monitorada, visando resguardar a segurança dos ativos de informações, bem como segurança jurídica da REFRASUL.

Não há expectativa de privacidade na utilização dos ativos/serviços de informação ou recursos computacionais da REFRASUL, incluindo a utilização da conta de e-mail corporativa, comunicadores instantâneos e navegação em sites da internet, através da infraestrutura tecnológica da REFRASUL.

Todas as informações dos ativos/serviços de informação ou recursos computacionais da REFRASUL podem ser interceptadas, gravadas, lidas, copiadas e divulgadas por, ou para, pessoas autorizadas para finalidades oficiais, incluindo investigações criminais. Estas informações incluem dados sensíveis criptografados para cumprir as exigências de confidencialidade e de privacidade.

9.11.2 Monitoramento do ambiente físico (câmeras)

A REFRASUL faz o monitoramento do seu ambiente físico interno e externo com o uso de circuito interno de televisão e câmeras de filmagem instaladas em suas dependências.

As câmeras de filmagem estão dispostas de forma a resguardar a dignidade humana, sendo vedada a sua instalação em banheiros, lavabos e na área reservada ao atendimento médico de empregados.

A filmagem descrita nesta norma tem por objetivo assegurar a segurança física do ambiente da REFRASUL, bem como a sua segurança patrimonial, não constituindo qualquer violação à intimidade, vida privada, honra ou imagem da pessoa filmada, o que o usuário tem ciência expressamente neste ato.

As imagens captadas dentro das dependências da REFRASUL serão arquivadas conforme procedimento adotado pela instituição e mantidas em caráter estritamente confidencial, somente podendo ser divulgadas em caso de infração às regras constantes em suas políticas e normas e/ou infração de legislação vigente.

A REFRASUL não permite o uso de qualquer dispositivo de gravação audiovisual dentro do seu perímetro físico, excetuando-se quando o usuário estiver formalmente autorizado.

9.11.3 Aviso legal

A REFRASUL faz uso de um aviso legal para garantir que usuários e demais pessoas e entidades que tentem obter acesso a ativos/serviços de informação ou recursos computacionais da organização estejam cientes das regras de segurança adotadas pela REFRASUL, bem como do monitoramento realizado em conformidade com esta norma.

O acesso a qualquer ativo/serviço de informação ou recurso computacional da REFRASUL ou o uso dos mesmos por qualquer pessoa ou entidade, autorizada ou não, caracteriza consentimento irrestrito aos termos expostos no aviso legal.

A ausência do aviso legal em qualquer ativo/serviço de informação ou recurso computacional da REFRASUL, por si só, não descaracteriza a necessidade de cumprimento das regras expostas nas políticas, normas e demais procedimentos de segurança da informação adotados pela REFRASUL.

 

9.12 Resposta a incidentes de segurança

Todas as ocorrências que possam vir a ter impacto negativo sobre a confidencialidade, integridade ou disponibilidade dos ativos/serviços de informação ou recursos computacionais da REFRASUL serão caracterizadas como um incidente de segurança da informação, devendo as referidas ocorrências serem tratadas de maneira a minimizar qualquer tipo de impacto e recuperar as características de segurança da informação dos itens afetados.

Incidentes de segurança devem ser priorizados com base na criticidade dos ativos/serviços de informação ou recursos computacionais afetados, combinada com a estimativa de impacto prevista.

Todos os incidentes de segurança da informação ou suspeitas de incidentes de segurança da informação devem ser imediatamente comunicados ao encarregado de dados.

A área de segurança da informação deverá determinar a criticidade do incidente e, quando pertinente, comunicar as partes interessadas como, por exemplo, membros do time de resposta a incidentes de segurança da informação.

Na ocorrência de um incidente de segurança da informação, ativos/serviços de informação ou recursos computacionais com suspeita de ter sua segurança comprometida, devem ser isolados do ambiente corporativo, de forma a garantir a contenção do incidente.

Após a erradicação completa do incidente, deve ser realizada uma revisão completa da ocorrência, identificando o nível real de impacto, vulnerabilidades exploradas, a efetividade do tratamento aplicado e a necessidade de maiores ações para evitar a recorrência do incidente.

9.13.Time de resposta a incidentes de segurança da informação

O time de resposta a incidentes de segurança da informação da REFRASUL é composto por:

Waldemar Dal Sasso;

Priscila da Silva Dutra Nardi;

De acordo com a natureza do incidente, colaboradores de qualquer setor da REFRASUL podem ser convocados a participar do time de resposta a incidentes de segurança da informação.

Nenhum tipo de informação sobre incidentes e ocorrências de segurança da informação poderá ser divulgado para quaisquer terceiros sem aprovação expressa e formal da diretoria da REFRASUL.