PRIVACIDADE LGPD
Ao utilizar de nossas ferramentas do sistema, sejam eles, aplicativos, website, whatsapp business e demais ferramentas disponíveis em nossa plataforma que é mantida e operacionalizada pela PULL Corporation Comercio Importacao E Exportacao LTDA, esclarecemos que:
Coletamos e utilizamos alguns dados pessoais que pertencem àqueles que utilizam nossa plataforma. Ao fazê-lo, agimos na qualidade de controlador desses dados e estamos sujeitos às disposições da Lei Federal n. 13.709/2018 (Lei Geral de Proteção de Dados Pessoais – LGPD).
Nós cuidamos da proteção de seus dados pessoais e, por isso, disponibilizamos esta política de privacidade, que contém informações importantes sobre:
– Quem deve utilizar nossa plataforma;
– Quais dados coletamos e o que fazemos com eles;
– Seus direitos em relação aos seus dados pessoais; e
– Como entrar em contato conosco.
1. Quem deve utilizar nossa plataforma
Nossa plataforma só deve ser utilizada por pessoas com mais de dezoito anos de idade.
2. Dados que coletamos e motivos da coleta
Nossa plataforma coleta e utiliza alguns dados pessoais de nossos usuários, de acordo com o disposto nesta seção.
– dados da empresa pessoa jurídica e pessoa física;
– endereço de e-mail e telefone;
A coleta destes dados ocorre nos seguintes momentos:
– O cliente entra em contato por telefone e encaminha a documentação via e-mail, sendo necessário a partir deste momento encaminhar ao cliente a política de privacidade para que o mesmo dê o aceite.
Os dados fornecidos por nossos usuários são coletados com as seguintes finalidades:
– para que o usuário possa adquirir os nossos produtos e serviços.
Não serão coletados dados sensíveis de nossos usuários, nos termos previstos do art. 11 da Lei Geral de Proteção de Dados, ficando afastado a hipótese de coletar informações sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
3. Coleta de dados não previstos expressamente
Eventualmente, outros tipos de dados não previstos expressamente nesta Política de Privacidade poderão ser coletados, desde que sejam fornecidos com o consentimento do usuário, ou, ainda, que a coleta seja permitida com fundamento em outra base legal prevista em lei.
Em qualquer caso, a coleta de dados e as atividades de tratamento dela decorrentes serão informadas aos usuários da plataforma.
4. Compartilhamento de dados pessoais com terceiros
Os dados pessoais são compartilhados com empresas terceiras desde que as mesmas estejam vinculados através de contratos, e que ainda venham a possuir uma rígida politica de privacidade e segurança de dados ou, ainda, para cumprir alguma ordem expedida por autoridade pública.
5. Por quanto tempo seus dados pessoais serão armazenados
Os dados pessoais coletados pela plataforma são armazenados e utilizados por período de tempo que corresponda ao necessário para atingir as finalidades elencadas neste documento e que considere os direitos de seus titulares, os direitos do controlador da plataforma e as disposições legais ou regulatórias aplicáveis.
Uma vez expirados os períodos de armazenamento dos dados pessoais, eles são removidos de nossas bases de dados ou anonimizados, salvo nos casos em que houver a possibilidade ou a necessidade de armazenamento em virtude de disposição legal ou regulatória.
6. Bases legais para o tratamento de dados pessoais
Uma base legal para o tratamento de dados pessoais nada mais é que um fundamento jurídico, previsto em lei, que o justifica. Assim, cada operação de tratamento de dados pessoais precisa ter uma base legal a ela correspondente.
Nós tratamos os dados pessoais de nossos usuários nas seguintes hipóteses:
– para o cumprimento de obrigação legal ou regulatória pelo controlador
– para o exercício regular de direitos em processo judicial, administrativo ou arbitral
– para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados pessoais
– quando necessário para atender aos interesses legítimos do controlador ou de terceiro
– para a proteção do crédito
Algumas operações de tratamento de dados pessoais, sobretudo o armazenamento de dados, serão realizadas para que possamos cumprir obrigações previstas em lei ou em outras disposições normativas aplicáveis às nossas atividades.
Para a execução de contrato de compra e venda ou de prestação de serviços eventualmente firmado entre a plataforma e o usuário, poderão ser coletados e armazenados outros dados relacionados ou necessários a sua execução, incluindo o teor de eventuais comunicações tidas com o usuário.
Para determinadas operações de tratamento de dados pessoais, nos baseamos exclusivamente em nosso interesse legítimo. Para saber mais sobre em quais casos, especificamente, nos valemos desta base legal, ou para obter mais informações sobre os testes que fazemos para termos certeza de que podemos utilizá-la, entre em contato com nosso Encarregado de Proteção de Dados Pessoais por algum dos canais informados nesta Política de Privacidade, na seção “Como entrar em contato conosco”.
7. Direitos do usuário
O usuário da plataforma possui os seguintes direitos, conferidos pela Lei de Proteção de Dados Pessoais:
– confirmação da existência de tratamento;
– acesso aos dados;
– correção de dados incompletos, inexatos ou desatualizados;
– anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na lei;
– portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
– eliminação dos dados pessoais tratados com o consentimento do titular, exceto nos casos previstos em lei;
– informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
– informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
– revogação do consentimento.
É importante destacar que, nos termos da LGPD, não existe um direito de eliminação de dados tratados com fundamento em bases legais distintas do consentimento, a menos que os dados sejam desnecessários, excessivos ou tratados em desconformidade com o previsto na lei.
Para garantir que o usuário que pretende exercer seus direitos é, de fato, o titular dos dados pessoais objeto da requisição, poderemos solicitar documentos ou outras informações que possam auxiliar em sua correta identificação, a fim de resguardar nossos direitos e os direitos de terceiros. Isto somente será feito, porém, se for absolutamente necessário, e o requerente receberá todas as informações relacionadas.
8. Medidas de segurança no tratamento de dados pessoais
Empregamos medidas técnicas e organizativas aptas a proteger os dados pessoais de acessos não autorizados e de situações de destruição, perda, extravio ou alteração desses dados.
As medidas que utilizamos levam em consideração a natureza dos dados, o contexto e a finalidade do tratamento, os riscos que uma eventual violação geraria para os direitos e liberdades do usuário, e os padrões atualmente empregados no mercado por empresas semelhantes à nossa.
Entre as medidas de segurança adotadas por nós, destacamos as seguintes:
– Os dados de nossos usuários são armazenados em ambiente seguro;
– Limitamos o acesso aos dados de nossos usuários, de modo que terceiros não autorizados não possam acessá-los;
– Utilizamos certificado SSL (Secure Socket Layer), de modo que a transmissão de dados entre os dispositivos dos usuários e nossos servidores aconteça de forma criptografada;
– Mantemos registros de todos aqueles que têm, de alguma forma, contato com nossos dados.
Ainda que adote tudo o que está ao seu alcance para evitar incidentes de segurança, é possível que ocorra algum problema motivado exclusivamente por um terceiro – como em caso de ataques de hackers ou crackers ou, ainda, em caso de culpa exclusiva do usuário, que ocorre, por exemplo, quando ele mesmo transfere seus dados a terceiro. Assim, embora sejamos, em geral, responsáveis pelos dados pessoais que tratamos, nos eximimos de responsabilidade caso ocorra uma situação excepcional como essas, sobre as quais não temos nenhum tipo de controle.
De qualquer forma, caso ocorra qualquer tipo de incidente de segurança que possa gerar risco ou dano relevante para qualquer de nossos usuários, comunicaremos os afetados e a Autoridade Nacional de Proteção de Dados acerca do ocorrido, em conformidade com o disposto na Lei Geral de Proteção de Dados.
9. Reclamação a uma autoridade de controle
Sem prejuízo de qualquer outra via de recurso administrativo ou judicial, todos os titulares de dados têm direito a apresentar reclamação a uma autoridade de controle. A reclamação poderá ser feita à autoridade da sede do sistema, do país de residência habitual do usuário, do seu local de trabalho ou do local onde foi alegadamente praticada a infração.
10. Alterações nesta política
A presente versão desta Política de Privacidade foi atualizada pela última vez em: 03/06/2021.
Nos reservamos o direito de modificar, a qualquer momento, as presentes normas, especialmente para adaptá-las às eventuais alterações feitas em nossa plataforma, seja pela disponibilização de novas funcionalidades, seja pela supressão ou modificação daquelas já existentes.
Sempre que houver uma modificação, nossos usuários serão notificados acerca da mudança.
11. Como entrar em contato conosco
Para esclarecer quaisquer dúvidas sobre esta Política de Privacidade ou sobre os dados pessoais que tratamos, entre em contato com nosso Encarregado de Proteção de Dados Pessoais, por algum dos canais mencionados abaixo:
E-mail: lgpd@pullrolamentos.com.br
Endereço postal: Rua Edson Souto, nº 560, Parque Industrial Lagoinha, Ribeirão Preto/SP, CEP: 14095-250
Ao utilizar os serviços, o usuário confirma que leu e compreendeu os Termos e Políticas aplicáveis a ele e concorda em ficar vinculado a eles.
Responsável: Comitê Multidisciplinar LGPD PULL Corporation.
SEGURANÇA DA INFORMAÇÃO (PSI)
A Política de Segurança da Informação, também referida como PSI, é o documento que orienta e estabelece as diretrizes corporativas da PULL CORPORATION COMERCIO IMPORTACAO E EXPORTACAO LTDA para a proteção dos ativos de informação e a prevenção de responsabilidade legal para todos os usuários. Deve, portanto, ser cumprida e aplicada em todas as áreas da instituição.
A presente PSI está baseada nas recomendações propostas pela norma ABNT NBR ISO/IEC 27002:2005, reconhecida mundialmente como um código de prática para a gestão da segurança da informação, bem como está de acordo com as leis vigentes em nosso país.
OBJETIVOS
Estabelecer diretrizes que permitam aos colaboradores e clientes da PULL CORPORATION COMERCIO IMPORTACAO E EXPORTACAO LTDA seguirem padrões de comportamento relacionados à segurança da informação adequados às necessidades de negócio e de proteção legal da empresa e do indivíduo.
Nortear a definição de normas e procedimentos específicos de segurança da informação, bem como a implementação de controles e processos para seu atendimento.
Preservar as informações da PULL CORPORATION COMERCIO IMPORTACAO E EXPORTACAO LTDA quanto à:
Privacidade e Proteção de Dados: A PULL CORPORATION COMERCIO IMPORTACAO E EXPORTACAO LTDA respeita a privacidade dos titulares de dados e garante a disponibilidade, integridade e confidencialidade dos dados pessoais em todo o seu ciclo de vida, que vai desde a coleta, armazenamento, compartilhamento, até o descarte, em qualquer tipo de formato de armazenamento e suporte de acordo com a sensibilidade do dado pessoal, a finalidade e a gravidade dos riscos, seguindo a Política de Privacidade e Tratamento de Dados da PULL CORPORATION COMERCIO IMPORTACAO E EXPORTACAO LTDA.
APLICAÇÕES DA PSI
As diretrizes aqui estabelecidas deverão ser seguidas por todos os colaboradores, bem como os prestadores de serviço, e se aplicam à informação em qualquer meio ou suporte.
Esta política dá ciência a cada colaborador de que os ambientes, sistemas, computadores e redes da empresa poderão ser monitorados e gravados, com prévia informação, conforme previsto nas leis brasileiras.
É também obrigação de cada colaborador se manter atualizado em relação a esta PSI e aos procedimentos e normas relacionadas, buscando orientação do seu gestor ou da Gerência de Tecnologia da Informação sempre que não estiver absolutamente seguro quanto à aquisição, uso e/ou descarte de informações.
PRINCÍPIOS DA PSI
Toda informação produzida ou recebida pelos colaboradores como resultado da atividade profissional contratada pela PULL CORPORATION COMERCIO IMPORTACAO E EXPORTACAO LTDA pertence à referida instituição. As exceções devem ser explícitas e formalizadas em contrato entre as partes.
Os equipamentos de informática e comunicação, sistemas e informações são utilizados pelos colaboradores para a realização das atividades profissionais. O uso pessoal dos recursos é permitido desde que não prejudique o desempenho dos sistemas e serviços.
A PULL CORPORATION COMERCIO IMPORTACAO E EXPORTACAO LTDA, por meio da Gerência de Tecnologia da Informação, poderá registrar todo o uso dos sistemas e serviços, visando garantir a disponibilidade e a segurança das informações utilizadas.
REQUISITOS DA PSI
Para a uniformidade da informação, a PSI deverá ser comunicada a todos os colaboradores da PULL CORPORATION COMERCIO IMPORTACAO E EXPORTACAO LTDA a fim de que a política seja cumprida dentro e fora da empresa.
Deverá haver um comitê multidisciplinar responsável pela gestão da segurança da informação, doravante designado como Comitê de Segurança da Informação.
Tanto a PSI quanto as normas deverão ser revistas e atualizadas periodicamente, sempre que algum fato relevante ou evento motive sua revisão antecipada, conforme análise e decisão do Comitê de Segurança.
Deverá constar em todos os contratos da PULL CORPORATION COMERCIO IMPORTACAO E EXPORTACAO LTDA o anexo de Acordo de Confidencialidade ou Cláusula de Confidencialidade, como condição imprescindível para que possa ser concedido o acesso aos ativos de informação disponibilizados pela instituição.
A responsabilidade em relação à segurança da informação deve ser comunicada na fase de contratação dos colaboradores. Todos os colaboradores devem ser orientados sobre os procedimentos de segurança, bem como o uso correto dos ativos, a fim de reduzir possíveis riscos. Eles devem assinar um termo de responsabilidade.
Todo incidente que afete a segurança da informação deverá ser comunicado inicialmente à Gerência de Tecnologia da Informação e ela, se julgar necessário, deverá encaminhar posteriormente ao Comitê de Segurança da Informação para análise.
Um plano de contingência e a continuidade dos principais sistemas e serviços deverão ser implantados e testados no mínimo anualmente, visando reduzir riscos de perda de confidencialidade, integridade e disponibilidade dos ativos de informação.
Todos os requisitos de segurança da informação, incluindo a necessidade de planos de contingência, devem ser identificados na fase de levantamento de escopo de um projeto ou sistema, e justificados, acordados, documentados, implantados e testados durante a fase de execução.
Deverão ser criados e instituídos controles apropriados, trilhas de auditoria ou registros de atividades, em todos os pontos e sistemas em que a instituição julgar necessário para reduzir os riscos dos seus ativos de informação como, por exemplo, nas estações de trabalho, notebooks, nos acessos à internet, no correio eletrônico, nos sistemas comerciais e financeiros desenvolvidos pela PULL CORPORATION COMERCIO IMPORTACAO E EXPORTACAO LTDA ou por terceiros.
Os ambientes de produção devem ser segregados e rigidamente controlados, garantindo o isolamento necessário em relação aos ambientes de desenvolvimento, testes e homologação.
A PULL CORPORATION COMERCIO IMPORTACAO E EXPORTACAO LTDA exonera-se de toda e qualquer responsabilidade decorrente do uso indevido, negligente ou imprudente dos recursos e serviços concedidos aos seus colaboradores, reservando-se o direito de analisar dados e evidências para obtenção de provas a serem utilizadas nos processos investigatórios, bem como adotar as medidas legais cabíveis.
Esta PSI será implementada na PULL CORPORATION COMERCIO IMPORTACAO E EXPORTACAO LTDA por meio de procedimentos específicos, obrigatórios para todos os colaboradores, independentemente do nível hierárquico ou função na empresa, bem como de vínculo empregatício ou prestação de serviço.
O não cumprimento dos requisitos previstos nesta PSI e das Normas de Segurança da Informação acarretará violação às regras internas da instituição e sujeitará o usuário às medidas administrativas e legais cabíveis.
DAS RESPONSABILIDADES ESPECÍFICAS
1 – Dos Colaboradores em Geral
Entende-se por colaborador toda e qualquer pessoa física, contratada CLT ou prestadora de serviço por intermédio de pessoa jurídica ou não, que exerça alguma atividade dentro ou fora da instituição.
Será de inteira responsabilidade de cada colaborador, todo prejuízo ou dano que vier a sofrer ou causar a PULL CORPORATION COMERCIO IMPORTACAO E EXPORTACAO LTDA e/ou a terceiros, em decorrência da não obediência às diretrizes e normas aqui referidas.
2 – Dos Colaboradores em Regime de Exceção (Temporários)
Devem entender os riscos associados à sua condição especial e cumprir rigorosamente o que está previsto no aceite concedido pelo Comitê de Segurança da Informação.
A concessão poderá ser revogada a qualquer tempo se for verificado que a justificativa de motivo de negócio não mais compensa o risco relacionado ao regime de exceção ou se o colaborador que o recebeu não estiver cumprindo as condições definidas no aceite.
3 – Dos Gestores de Pessoas e/ou Processos
Ter postura exemplar em relação à segurança da informação, servindo como modelo de conduta para os colaboradores sob a sua gestão.
Atribuir aos colaboradores, na fase de contratação e de formalização dos contratos individuais de trabalho, de prestação de serviços ou de parceria, a responsabilidade do cumprimento da PSI da PULL CORPORATION COMERCIO IMPORTACAO E EXPORTACAO LTDA.
Exigir dos colaboradores a assinatura do Termo de Compromisso e Ciência, assumindo o dever de seguir as normas estabelecidas, bem como se comprometendo a manter sigilo e confidencialidade, mesmo quando desligado, sobre todos os ativos de informações da PULL CORPORATION COMERCIO IMPORTACAO E EXPORTACAO LTDA.
Os processos, procedimentos e sistemas sob sua responsabilidade para atender a esta PSI.
4 – Dos Custodiantes da Informação
4.1 – Da Área de Tecnologia da Informação
Testar a eficácia dos controles utilizados e informar aos gestores os riscos residuais.
Acordar com os gestores o nível de serviço que será prestado e os procedimentos de resposta aos incidentes.
Configurar os equipamentos, ferramentas e sistemas concedidos aos colaboradores com todos os controles necessários para cumprir os requerimentos de segurança estabelecidos por esta PSI.
Os administradores e operadores dos sistemas computacionais podem, pela característica de seus privilégios como usuários, acessar os arquivos e dados de outros usuários. No entanto, isso só será permitido quando for necessário para a execução de atividades operacionais sob sua responsabilidade como, por exemplo, a manutenção de computadores, a realização de cópias de segurança, auditorias ou testes no ambiente.
Segregar as funções administrativas e operacionais a fim de restringir ao mínimo necessário os poderes de cada indivíduo e eliminar, ou ao menos reduzir, a existência de pessoas que possam excluir os logs e trilhas de auditoria das suas próprias ações.
Administrar, proteger e testar as cópias de segurança dos programas e dados relacionados aos processos críticos e relevantes da PULL CORPORATION COMERCIO IMPORTACAO E EXPORTACAO LTDA.
Implantar controles que gerem registros auditáveis para retirada e transporte de mídias das informações custodiadas pela TI, nos ambientes totalmente controlados por ela.
O gestor da informação deve ser previamente informado sobre o fim do prazo de retenção, para que tenha a alternativa de alterá-lo antes que a informação seja definitivamente descartada pelo custodiante.
Quando ocorrer movimentação interna dos ativos de TI, garantir que as informações de um usuário não serão removidas de forma irrecuperável antes de disponibilizar o ativo para outro usuário.
Planejar, implantar, fornecer e monitorar a capacidade de armazenagem, processamento e transmissão necessários para garantir a segurança requerida pelas áreas de negócio.
Atribuir cada conta ou dispositivo de acesso a computadores, sistemas, bases de dados e qualquer outro ativo de informação a um responsável identificável como pessoa física, sendo que:
Proteger continuamente todos os ativos de informação da empresa contra código malicioso, e garantir que todos os novos ativos só entrem para o ambiente de produção após estarem livres de código malicioso e/ou indesejado.
Definir as regras formais para instalação de software e hardware em ambiente de produção corporativo, exigindo o seu cumprimento dentro da empresa.
Realizar auditorias periódicas de configurações técnicas e análise de riscos.
Responsabilizar-se pelo uso, manuseio, guarda de assinatura e certificados digitais.
Garantir, da forma mais rápida possível, com solicitação formal, o bloqueio de acesso de usuários por motivo de desligamento da empresa, incidente, investigação ou outra situação que exija medida restritiva para fins de salvaguardar os ativos da empresa.
Garantir que todos os servidores, estações e demais dispositivos com acesso à rede da empresa operem com o relógio sincronizado com os servidores de tempo oficiais do governo brasileiro.
Monitorar o ambiente de TI, gerando indicadores e históricos de:
4.2 – Da Área de Segurança da Informação
Propor as metodologias e os processos específicos para a segurança da informação, como avaliação de risco e sistema de classificação da informação.
Propor e apoiar iniciativas que visem à segurança dos ativos de informação da PULL CORPORATION COMERCIO IMPORTACAO E EXPORTACAO LTDA.
Publicar e promover as versões da PSI e as Normas de Segurança da Informação aprovadas pelo Comitê de Segurança da Informação.
Promover a conscientização dos colaboradores em relação à relevância da segurança da informação para o negócio da PULL CORPORATION COMERCIO IMPORTACAO E EXPORTACAO LTDA, mediante campanhas, palestras, treinamentos e outros meios de endomarketing.
Apoiar a avaliação e a adequação de controles específicos de segurança da informação para novos sistemas ou serviços.
Analisar criticamente incidentes em conjunto com o Comitê de Segurança da Informação.
Apresentar as atas e os resumos das reuniões do Comitê de Segurança da Informação, destacando os assuntos que exijam intervenção do próprio comitê ou de outros membros da diretoria.
Manter comunicação efetiva com o Comitê de Segurança da Informação sobre assuntos relacionados ao tema que afetem ou tenham potencial para afetar a PULL CORPORATION COMERCIO IMPORTACAO E EXPORTACAO LTDA.
Buscar alinhamento com as diretrizes corporativas da instituição.
4.3 – Do Comitê de Segurança da Informação
Deve ser formalmente constituído por colaboradores com nível hierárquico mínimo gerencial, nomeados para participar do grupo pelo período de um ano.
A composição mínima deve incluir um colaborador de cada uma das áreas: Jurídico, Atendimento ao Cliente, Finanças, MKT
Deverá o CSI reunir-se formalmente pelo menos uma vez a cada seis meses. Reuniões adicionais devem ser realizadas sempre que for necessário deliberar sobre algum incidente grave ou definição relevante para a PULL CORPORATION COMERCIO IMPORTACAO E EXPORTACAO LTDA
O CSI poderá utilizar especialistas, internos ou externos, para apoiarem nos assuntos que exijam conhecimento técnico específico.
Cabe ao CSI:
5 – DO MONITORAMENTO E DA AUDITORIA DO AMBIENTE
Para garantir as regras mencionadas nesta PSI a PULL CORPORATION COMERCIO IMPORTACAO E EXPORTACAO LTDA poderá:
CORREIO ELETRÔNICO
O objetivo desta norma é informar aos colaboradores da PULL CORPORATION COMERCIO IMPORTACAO E EXPORTACAO LTDA quais são as atividades permitidas e proibidas quanto ao uso do correio eletrônico corporativo.
O uso do correio eletrônico da PULL CORPORATION COMERCIO IMPORTACAO E EXPORTACAO LTDA é para fins corporativos e relacionados às atividades do colaborador usuário dentro da instituição.
Acrescentamos que é proibido aos colaboradores o uso do correio eletrônico da PULL CORPORATION COMERCIO IMPORTACAO E EXPORTACAO LTDA:
As mensagens de correio eletrônico sempre deverão incluir assinatura com o seguinte formato:
INTERNET
Todas as regras atuais da PULL CORPORATION COMERCIO IMPORTACAO E EXPORTACAO LTDA visam basicamente o desenvolvimento de um comportamento eminentemente ético e profissional do uso da internet. Embora a conexão direta e permanente da rede corporativa da instituição com a internet ofereça um grande potencial de benefícios, ela abre a porta para riscos significativos para os ativos de informação.
Qualquer informação que é acessada, transmitida, recebida ou produzida na internet está sujeita a divulgação e auditoria. Portanto, a PULL CORPORATION COMERCIO IMPORTACAO E EXPORTACAO LTDA, em total conformidade legal, reserva-se o direito de monitorar e registrar todos os acessos a ela.
Os equipamentos, tecnologia e serviços fornecidos para o acesso à internet são de propriedade da instituição, que pode analisar e, se necessário, bloquear qualquer arquivo, site, correio eletrônico, domínio ou aplicação armazenados na rede/internet, estejam eles em disco local, na estação ou em áreas privadas da rede, visando assegurar o cumprimento de sua Política de Segurança da Informação.
A PULL CORPORATION COMERCIO IMPORTACAO E EXPORTACAO LTDA, ao monitorar a rede interna, pretende garantir a integridade dos dados e programas.
Toda tentativa de alteração dos parâmetros de segurança, por qualquer colaborador, sem o devido credenciamento e a autorização para tal, será julgada inadequada e os riscos relacionados serão informados ao colaborador e ao respectivo gestor. O uso de qualquer recurso para atividades ilícitas poderá acarretar as ações administrativas e as penalidades decorrentes de processos civil e criminal, sendo que nesses casos a instituição cooperará ativamente com as autoridades competentes.
A internet disponibilizada pela instituição aos seus colaboradores, independentemente de sua relação contratual, pode ser utilizada para fins pessoais, desde que não prejudique o andamento dos trabalhos nas unidades.
Como é do interesse da PULL CORPORATION COMERCIO IMPORTACAO E EXPORTACAO LTDA que seus colaboradores estejam bem informados, o uso de sites de notícias ou de serviços, por exemplo, é aceitável, desde que não comprometa a banda da rede em horários estritamente comerciais, não perturbe o bom andamento dos trabalhos nem implique conflitos de interesse com os seus objetivos de negócio.
Somente os colaboradores que estão devidamente autorizados a falar em nome da PULL CORPORATION COMERCIO IMPORTACAO E EXPORTACAO LTDA para os meios de comunicação poderão manifestar-se, seja por e-mail, entrevista on-line, podcast, seja por documento físico, entre outros.
Apenas os colaboradores autorizados pela instituição poderão copiar, captar, imprimir ou enviar imagens da tela para terceiros, devendo atender à norma interna de uso de imagens, à Lei de Direitos Autorais, à proteção da imagem garantida pela Constituição Federal e demais dispositivos legais.
É proibida a divulgação e/ou o compartilhamento indevido de informações da área administrativa em listas de discussão, sites ou comunidades de relacionamento, salas de bate-papo ou chat, comunicadores instantâneos ou qualquer outra tecnologia correlata que venha surgir na internet.
Os colaboradores com acesso à internet poderão fazer o download (baixa) somente de programas ligados diretamente às suas atividades na PULL CORPORATION COMERCIO IMPORTACAO E EXPORTACAO LTDA e deverão providenciar o que for necessário para regularizar a licença e o registro desses programas, desde que autorizados pela GES.
O uso, a instalação, a cópia ou a distribuição não autorizada de softwares que tenham direitos autorais, marca registrada ou patente na internet são expressamente proibidos. Qualquer software não autorizado baixado será excluído pela equipe de Tecnologia da Informação.
Os colaboradores não poderão em hipótese alguma utilizar os recursos da PULL CORPORATION COMERCIO IMPORTACAO E EXPORTACAO LTDA para fazer o download ou distribuição de software ou dados pirateados, atividade considerada delituosa de acordo com a legislação nacional.
O download e a utilização de programas de entretenimento, jogos ou músicas (em qualquer formato) poderão ser realizados por usuários que tenham atividades profissionais relacionadas a essas categorias. Para tal, grupos de segurança, cujos integrantes deverão ser definidos pelos respectivos gestores, precisam ser criados a fim de viabilizar esse acesso especial. Mediante solicitação e aprovação da área técnica responsável, o uso de jogos será passível de concessão, em regime de exceção, quando eles tiverem natureza intrínseca às atividades de cursos relacionados ao desenvolvimento de jogos.
Como regra geral, materiais de cunho sexual não poderão ser expostos, armazenados, distribuídos, editados, impressos ou gravados por meio de qualquer recurso. Caso seja necessário, grupos de segurança deverão ser criados para viabilizar esse perfil de usuário especial e seus integrantes definidos pelos respectivos gestores.
Colaboradores com acesso à internet não poderão efetuar upload (subida) de qualquer software licenciado a PULL CORPORATION COMERCIO IMPORTACAO E EXPORTACAO LTDA ou de dados de sua propriedade aos seus parceiros e clientes, sem expressa autorização do responsável pelo software ou pelos dados.
Os colaboradores não poderão utilizar os recursos da PULL CORPORATION COMERCIO IMPORTACAO E EXPORTACAO LTDA para deliberadamente propagar qualquer tipo de vírus, worm, cavalo de troia, spam, assédio, perturbação ou programas de controle de outros computadores.
O acesso a softwares peer-to-peer (Kazaa, BitTorrent e afins) não serão permitidos. Já os serviços de streaming (rádios on-line, canais de broadcast e afins) serão permitidos a grupos específicos.
Não é permitido acesso a sites de proxy.
IDENTIFICAÇÃO
Os dispositivos de identificação e senhas protegem a identidade do colaborador usuário, evitando e prevenindo que uma pessoa se faça passar por outra perante a PULL CORPORATION COMERCIO IMPORTACAO E EXPORTACAO LTDA e/ou terceiros.
O uso dos dispositivos e/ou senhas de identificação de outra pessoa constitui crime tipificado no Código Penal Brasileiro (art. 307 – falsa identidade).
Tal norma visa estabelecer critérios de responsabilidade sobre o uso dos dispositivos de identificação e deverá ser aplicada a todos os colaboradores.
Todos os dispositivos de identificação utilizados na PULL CORPORATION COMERCIO IMPORTACAO E EXPORTACAO LTDA, como o número de registro do colaborador, o crachá, as identificações de acesso aos sistemas, os certificados e assinaturas digitais e os dados biométricos têm de estar associados a uma pessoa física e atrelados inequivocamente aos seus documentos oficiais reconhecidos pela legislação brasileira.
O usuário, vinculado a tais dispositivos identificadores, será responsável pelo seu uso correto perante a instituição e a legislação (cível e criminal).
Todo e qualquer dispositivo de identificação pessoal, portanto, não poderá ser compartilhado com outras pessoas em nenhuma hipótese.
Se existir login de uso compartilhado por mais de um colaborador, a responsabilidade perante a PULL CORPORATION COMERCIO IMPORTACAO E EXPORTACAO LTDA e a legislação (cível e criminal) será dos usuários que dele se utilizarem. Somente se for identificado conhecimento ou solicitação do gestor de uso compartilhado ele deverá ser responsabilizado.
É proibido o compartilhamento de login para funções de administração de sistemas.
O Departamento de Recursos Humanos da PULL CORPORATION COMERCIO IMPORTACAO E EXPORTACAO LTDA é o responsável pela emissão e pelo controle dos documentos físicos de identidade dos colaboradores.
A Gerência de Sistemas responde pela criação da identidade lógica dos colaboradores na instituição, nos termos do Procedimento para Gerenciamento de Contas de Grupos e Usuários.
Devem ser distintamente identificados os visitantes, estagiários, empregados temporários, empregados regulares e prestadores de serviços, sejam eles pessoas físicas e/ou jurídicas. Ao realizar o primeiro acesso ao ambiente de rede local, o usuário deverá trocar imediatamente a sua senha conforme as orientações apresentadas.
Os usuários que não possuem perfil de administrador deverão ter senha de tamanho variável, possuindo no mínimo 6 (seis) caracteres alfanuméricos, utilizando caracteres especiais (@ # $ %) e variação entre caixa-alta e caixa-baixa (maiúsculo e minúsculo) sempre que possível.
Já os usuários que possuem perfil de administrador ou acesso privilegiado deverão utilizar uma senha de no mínimo 10 (dez) caracteres, alfanumérica, utilizando caracteres especiais (@ # $ %) e variação de caixa-alta e caixa-baixa (maiúsculo e minúsculo) obrigatoriamente.
É de responsabilidade de cada usuário a memorização de sua própria senha, bem como a proteção e a guarda dos dispositivos de identificação que lhe forem designados.
As senhas não devem ser anotadas ou armazenadas em arquivos eletrônicos (Word, Excel, etc.), compreensíveis por linguagem humana (não criptografados); não devem ser baseadas em informações pessoais, como próprio nome, nome de familiares, data de nascimento, endereço, placa de veículo, nome da empresa, nome do departamento; e não devem ser constituídas de combinações óbvias de teclado, como “abcdefgh”, “87654321”, entre outras.
Após 3 (três) tentativas de acesso, a conta do usuário será bloqueada. Para o desbloqueio é necessário que o usuário entre em contato com a Gerência de TI da PULL CORPORATION COMERCIO IMPORTACAO E EXPORTACAO LTDA.
Deverá ser estabelecido um processo para a renovação de senha (confirmar a identidade).
Os usuários podem alterar a própria senha, e devem ser orientados a fazê-lo, caso suspeitem que terceiros obtiveram acesso indevido ao seu login/senha.
A periodicidade máxima para troca das senhas é 45 (quarenta e cinco) dias, não podendo ser repetidas as 3 (três) últimas senhas. Os sistemas críticos e sensíveis para a instituição e os logins com privilégios administrativos devem exigir a troca de senhas a cada 30 dias. Os sistemas devem forçar a troca das senhas dentro desse prazo máximo.
Todos os acessos devem ser imediatamente bloqueados quando se tornarem desnecessários.
Portanto, assim que algum usuário for demitido ou solicitar demissão, o Departamento de Recursos Humanos deverá imediatamente comunicar tal fato ao Departamento de Tecnologia da Informação, a fim de que essa providência seja tomada. A mesma conduta se aplica aos usuários cujo contrato ou prestação de serviços tenha se encerrado, bem como aos usuários de testes e outras situações similares.
Caso o colaborador esqueça sua senha, ele deverá requisitar formalmente a troca ou comparecer pessoalmente à área técnica responsável para cadastrar uma nova.
COMPUTADORES E RECURSOS TECNOLÓGICOS
Os equipamentos disponíveis aos colaboradores são de propriedade da PULL CORPORATION COMERCIO IMPORTACAO E EXPORTACAO LTDA, cabendo a cada um utilizá-los e manuseá-los corretamente para as atividades de interesse da instituição, bem como cumprir as recomendações constantes nos procedimentos operacionais fornecidos pelas gerências responsáveis.
É proibido todo procedimento de manutenção física ou lógica, instalação, desinstalação, configuração ou modificação, sem o conhecimento prévio e o acompanhamento de um técnico da Gerência de Sistemas da PULL CORPORATION COMERCIO IMPORTACAO E EXPORTACAO LTDA, ou de quem este determinar. As gerências que necessitarem fazer testes deverão solicitá-los previamente à Gerência de Sistemas e/ou à Gerência de Materiais e Serviços, ficando responsáveis jurídica e tecnicamente pelas ações realizadas.
Todas as atualizações e correções de segurança do sistema operacional ou aplicativos somente poderão ser feitas após a devida validação no respectivo ambiente de homologação, e depois de sua disponibilização pelo fabricante ou fornecedor.
Os sistemas e computadores devem ter versões do software antivírus instaladas, ativadas e atualizadas permanentemente. O usuário, em caso de suspeita de vírus ou problemas na funcionalidade, deverá acionar o departamento técnico responsável mediante registro de chamado no service desk.
A transferência e/ou a divulgação de qualquer software, programa ou instruções de computador para terceiros, por qualquer meio de transporte (físico ou lógico), somente poderá ser realizada com a devida identificação do solicitante, se verificada positivamente e estiver de acordo com a classificação de tal informação e com a real necessidade do destinatário.
Arquivos pessoais e/ou não pertinentes ao negócio da PULL CORPORATION COMERCIO IMPORTACAO E EXPORTACAO LTDA (fotos, músicas, vídeos, etc..) não deverão ser copiados/movidos para os drives de rede, pois podem sobrecarregar o armazenamento nos servidores. Caso identificada a existência desses arquivos, eles poderão ser excluídos definitivamente por meio de comunicação prévia ao usuário.
Documentos imprescindíveis para as atividades dos colaboradores da instituição deverão ser salvos em drives de rede. Tais arquivos, se gravados apenas localmente nos computadores (por exemplo, no drive C:), não terão garantia de backup e poderão ser perdidos caso ocorra uma falha no computador, sendo, portanto, de responsabilidade do próprio usuário.
Os colaboradores da PULL CORPORATION COMERCIO IMPORTACAO E EXPORTACAO LTDA e/ou detentores de contas privilegiadas não devem executar nenhum tipo de comando ou programa que venha sobrecarregar os serviços existentes na rede corporativa sem a prévia solicitação e a autorização da Gerência de Sistemas.
No uso dos computadores, equipamentos e recursos de informática, algumas regras devem ser atendidas.
O colaborador deverá manter a configuração do equipamento disponibilizado pela PULL CORPORATION COMERCIO IMPORTACAO E EXPORTACAO LTDA, seguindo os devidos controles de segurança exigidos pela Política de Segurança da Informação e pelas normas específicas da instituição, assumindo a responsabilidade como custodiante de informações.
Deverão ser protegidos por senha (bloqueados), nos termos previstos pela Norma de Autenticação, todos os terminais de computador e impressoras quando não estiverem sendo utilizados.
Acrescentamos algumas situações em que é proibido o uso de computadores e recursos tecnológicos da PULL CORPORATION COMERCIO IMPORTACAO E EXPORTACAO LTDA.
DISPOSITIVOS MÓVEIS
A PULL CORPORATION COMERCIO IMPORTACAO E EXPORTACAO LTDA deseja facilitar a mobilidade e o fluxo de informação entre seus colaboradores. Por isso, permite que eles usem equipamentos portáteis.
Quando se descreve “dispositivo móvel” entende-se qualquer equipamento eletrônico com atribuições de mobilidade de propriedade da instituição, ou aprovado e permitido por sua Gerência de Sistemas, como: notebooks, smartphones e pendrives.
Essa norma visa estabelecer critérios de manuseio, prevenção e responsabilidade sobre o uso de dispositivos móveis e deverá ser aplicada a todos os colaboradores que utilizem tais equipamentos.
A PULL CORPORATION COMERCIO IMPORTACAO E EXPORTACAO LTDA, na qualidade de proprietário dos equipamentos fornecidos, reserva-se o direito de inspecioná-los a qualquer tempo, caso seja necessário realizar uma manutenção de segurança.
O colaborador, portanto, assume o compromisso de não utilizar, revelar ou divulgar a terceiros, de modo algum, direta ou indiretamente, em proveito próprio ou de terceiros, qualquer informação, confidencial ou não, que tenha ou venha a ter conhecimento em razão de suas funções na PULL CORPORATION COMERCIO IMPORTACAO E EXPORTACAO LTDA, mesmo depois de terminado o vínculo contratual mantido com a instituição.
Todo colaborador deverá realizar periodicamente cópia de segurança (backup) dos dados de seu dispositivo móvel. Deverá, também, manter estes backups separados de seu dispositivo móvel, ou seja, não carregá-los juntos.
O suporte técnico aos dispositivos móveis de propriedade da PULL CORPORATION COMERCIO IMPORTACAO E EXPORTACAO LTDA e aos seus usuários deverá seguir o mesmo fluxo de suporte contratado pela instituição.
Todo colaborador deverá utilizar senhas de bloqueio automático para seu dispositivo móvel.
Não será permitida, em nenhuma hipótese, a alteração da configuração dos sistemas operacionais dos equipamentos, em especial os referentes à segurança e à geração de logs, sem a devida comunicação e a autorização da área responsável e sem a condução, auxílio ou presença de um técnico da Gerência de Sistemas.
O colaborador deverá responsabilizar-se em não manter ou utilizar quaisquer programas e/ou aplicativos que não tenham sido instalados ou autorizados por um técnico da Gerência de TI da PULL CORPORATION COMERCIO IMPORTACAO E EXPORTACAO LTDA
A reprodução não autorizada dos softwares instalados nos dispositivos móveis fornecidos pela instituição constituirá uso indevido do equipamento e infração legal aos direitos autorais do fabricante.
É permitido o uso de rede banda larga de locais conhecidos pelo colaborador como: sua casa, hotéis, fornecedores e clientes.
É responsabilidade do colaborador, no caso de furto ou roubo de um dispositivo móvel fornecido pelo PULL CORPORATION COMERCIO IMPORTACAO E EXPORTACAO LTDA, notificar imediatamente seu gestor direto e a Gerência de TI.
Também deverá procurar a ajuda das autoridades policiais registrando, assim que possível, um boletim de ocorrência (BO).
O colaborador deverá estar ciente de que o uso indevido do dispositivo móvel caracterizará a assunção de todos os riscos da sua má utilização, sendo o único responsável por quaisquer danos, diretos ou indiretos, presentes ou futuros, que venha causar a PULL CORPORATION COMERCIO IMPORTACAO E EXPORTACAO LTDA e/ou a terceiros.
O colaborador que deseje utilizar equipamentos portáteis particulares ou adquirir acessórios e posteriormente conectá-los à rede da PULL CORPORATION COMERCIO IMPORTACAO E EXPORTACAO LTDA deverá submeter previamente tais equipamentos ao processo de autorização da Gerência de TI.
Equipamentos portáteis, como smartphones, palmtops, pen drives e players de qualquer espécie, quando não fornecidos ao colaborador pela instituição, não serão validados para uso e conexão em sua rede corporativa.
DATACENTER OU SALA DOS SERVIDORES
O acesso ao Datacenter é feito apenas por chave em posse dos responsáveis da tecnologia da informação.
Deverão existir duas cópias de chaves da porta do Datacenter. Uma das cópias ficará de posse do coordenador responsável pelo Datacenter, a outra, de posse do coordenador de infraestrutura.
O Datacenter deverá ser mantido limpo e organizado. Qualquer procedimento que gere lixo ou sujeira nesse ambiente somente poderá ser realizado com a colaboração do Departamento de Serviços Gerais.
Não é permitida a entrada de nenhum tipo de alimento, bebida, produto fumígeno ou inflamável.
A entrada ou retirada de quaisquer equipamentos do Datacenter somente se dará com o preenchimento da solicitação de liberação pelo colaborador solicitante e a autorização formal desse instrumento pelo responsável do Datacenter, de acordo com os termos do Procedimento de Controle e Transferência de Equipamentos.
BACKUP
Todos os backups devem ser automatizados por sistemas de agendamento automatizado para que sejam preferencialmente executados fora do horário comercial, nas chamadas “janelas de backup” – períodos em que não há nenhum ou pouco acesso de usuários ou processos automatizados aos sistemas de informática.
Os colaboradores responsáveis pela gestão dos sistemas de backup deverão realizar pesquisas frequentes para identificar atualizações de correção, novas versões do produto, ciclo de vida (quando o software não terá mais garantia do fabricante), sugestões de melhorias, entre outros.
As mídias de backup (como DAT, DLT, LTO, DVD, CD e outros) devem ser acondicionadas em local seco, climatizado, seguro (de preferência em cofres corta-fogo segundo as normas da ABNT) e distantes o máximo possível do Datacenter.
As fitas de backup devem ser devidamente identificadas, inclusive quando for necessário efetuar alterações de nome, e de preferência com etiquetas não manuscritas, dando uma conotação mais organizada e profissional.
O tempo de vida e uso das mídias de backup deve ser monitorado e controlado pelos responsáveis, com o objetivo de excluir mídias que possam apresentar riscos de gravação ou de restauração decorrentes do uso prolongado, além do prazo recomendado pelo fabricante.
É necessária a previsão, em orçamento anual, da renovação das mídias em razão de seu desgaste natural, bem como deverá ser mantido um estoque constante das mídias para qualquer uso emergencial.
Mídias que apresentam erros devem primeiramente ser formatadas e testadas. Caso o erro persista, deverão ser inutilizadas.
É necessário que seja inserido, periodicamente, o dispositivo de limpeza nas unidades de backup nos termos do Procedimento de Controle de Mídias de Backup.
As mídias de backups históricos ou especiais deverão ser armazenadas em instalações seguras, preferencialmente com estrutura de sala-cofre, distante no mínimo 10 quilômetros do Datacenter.
Na situação de erro de backup e/ou restore é necessário que ele seja feito logo no primeiro horário disponível, assim que o responsável tenha identificado e solucionado o problema.
Caso seja extremamente negativo o impacto da lentidão dos sistemas derivados desse backup, eles deverão ser autorizados apenas mediante justificativa de necessidade nos termos do Procedimento de Controle de Backup e Restore.
Quaisquer atrasos na execução de backup ou restore deverão ser justificados formalmente pelos responsáveis nos termos do Procedimento de Controle de Mídias de Backup.
Testes de restauração (restore) de backup devem ser executados por seus responsáveis, nos termos dos procedimentos específicos, aproximadamente a cada 30 ou 60 dias, de acordo com a criticidade do backup.
Por se tratar de uma simulação, o executor deve restaurar os arquivos em local diferente do original, para que assim não sobreponha os arquivos válidos.
Para formalizar o controle de execução de backups e restores, deverá haver um formulário de controle rígido de execução dessas rotinas, o qual deverá ser preenchido pelos responsáveis e auditado pelo coordenador de infraestrutura, nos termos do Procedimento de Controle de Backup e Restore.
Os colaboradores responsáveis descritos nos devidos procedimentos e na planilha de responsabilidade poderão delegar a um custodiante a tarefa operacional quando, por motivos de força maior, não puderem operacionalizar. Contudo, o custodiante não poderá se eximir da responsabilidade do processo.
DAS DISPOSIÇÕES FINAIS
Assim como a ética, a segurança deve ser entendida como parte fundamental da cultura interna da PULL CORPORATION COMERCIO IMPORTACAO E EXPORTACAO LTDA. Ou seja, qualquer incidente de segurança subtende-se como alguém agindo contra a ética e os bons costumes regidos pela instituição.
São Paulo, 01 de setembro de 2021.
comercial@pullrolamentos.com.br
(16) 2101-8888|Política de Privacidade e Segurança
R. Édson Souto, 560 - Parque Industrial Lagoinha | Ribeirão Preto - SP, 14095-250