CODECYCLE - PLANO DIRETOR DE PROTEÇÃO DE DADOS
Versão: 1.0 - 19/01/2024
Autor: Bruno César Leitão
A empresa CODECYCLE INFORMÁTICA LTDA, registrada sob o CNPJ 21.768.520/0001-19 e localizada na Rua Dr. Thirso Martins, número 100 (conjuntos 118 e 119), no bairro da Vila Mariana, na cidade de São Paulo, adiante referida pelo nome fantasia "CODE", reconhecendo a importância da conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD - Lei nº 13.709/2018), e alinhada com as melhores práticas de Segurança da Informação, publica o presente documento. Este plano tem como objetivo orientar o Planejamento, Desenvolvimento, Controle e Acompanhamento de ações destinadas a assegurar os direitos à privacidade, à segurança, à transparência e à responsabilidade no tratamento de dados por parte da empresa.
Glossário
- DADO PESSOAL: Qualquer informação relacionada a uma pessoa natural identificada ou identificável. Isso inclui, mas não se limita a, nome, identificação, dados de contato, características físicas, localização, entre outros.
- DADO PESSOAL SENSÍVEL: Dados pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, dados genéticos ou biométricos, quando vinculados a uma pessoa natural.
- TITULAR DOS DADOS: Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
- CONTROLADOR: Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
- OPERADOR (ou PROCESSADOR): Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
- ENCARREGADO DE PROTEÇÃO DE DADOS (DPO): Indivíduo designado pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). O DPO também supervisiona o cumprimento da LGPD dentro da organização.
- TRATAMENTO DE DADOS: Toda operação realizada com dados pessoais, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação.
- ANONIMIZAÇÃO: Processo pelo qual dados pessoais são tornados irreversivelmente anônimos, de modo que não possam mais ser associados a um indivíduo específico.
- PSEUDONIMIZAÇÃO: Processo pelo qual o tratamento de dados é realizado de maneira a garantir que não seja possível identificar o titular sem o uso de informações adicionais.
- DADO EMPRESARIAL: Qualquer informação pública relacionada a uma pessoa jurídica, incluindo, mas não se limitando a, razão social, nome fantasia, CNPJ, endereço comercial, informações de contato e quaisquer outros dados pertinentes à pessoa jurídica.
- DADO EMPRESARIAL SENSÍVEL: Qualquer informação relacionada a uma pessoa jurídica, incluindo, mas não se limitando a, informações de faturamento, arquivos digitais, títulos, relatórios, entre outros.
- NDA (Non-disclosure agreements): Acordo de confidencialidade estabelecido entre partes envolvidas no TRATAMENTO DE DADOS.
- DLP (Data Loss Prevention): Prevenção contra perda de dados.
- ANPD: Autoridade Nacional de Proteção de Dados.
- ATPP: Agentes de Tratamento de Pequeno Porte.
Objetivo
Garantir a proteção contra PERDA, SEQUESTRO, VAZAMENTO e VANDALISMO de dados.
Publicação e Histórico de Revisões
A versão vigente do presente documento deve estar publicada, de maneira irrestrita, no endereço https://codecycle.com.br/lgpd/plano_diretor_protecao_dados. O histórico de versões desse plano não precisa ser publicado.
Diretrizes do Plano
01 - DPO
Nomear e divulgar o senhor Bruno César Leitão, Arquiteto de Soluções em Software, como ENCARREGADO DE PROTEÇÃO DE DADOS da CODE até o dia 19/01/2024. Sua nomeação deve estar publicada, de maneira irrestrita, no endereço https://codecycle.com.br/lgpd/nomeacao_dpo.
02 - Registro das Operações de Tratamento de Dados Pessoais
Preencher e divulgar o Registro das Operações de Tratamento de Dados Pessoais para cada sistema desenvolvido ou operado pela CODE, de maneira indexada e irrestrita, no endereço https://codecycle.com.br/lgpd/ropa. Para os sistemas que já se encontram em operação, a CODE deve divulgar esse registro, de acordo com o modelo definido pela ANPD para ATPP, até o dia 31/03/2024. Para os sistemas em desenvolvimento, a CODE deve divulga esse registro antes de serem instalados em ambientes operativos.
03 - Compliance Interno
Todos os colaboradores da CODE devem ler, concordar e assinar o "NDA de Colaborador" até o dia 31/03/2024. O conteúdo do "NDA de Colaborador" deve estar publicado, de maneira irrestrita, no endereço https://codecycle.com.br/lgpd/nda_colaborador. Todos os colaboradores da CODE devem ler, concordar e assinar o "Termo de Responsabilidade de Estação de Trabalho" até o dia 31/03/2024. O conteúdo do "Termo de Responsabilidade de Estação de Trabalho" deve estar publicado, de maneira irrestrita, no endereço https://codecycle.com.br/lgpd/termo_estacao_trabalho. A CODE deve armazenar o "NDA de Colaborador" e o "Termo de Responsabilidade de Estação de Trabalho" assinados digitalmente de acordo com a Lei 14.063/2020 para cada colaborador atuante em seu quadro de colaboradores e manter esses arquivos armazenados pelo período de 5 anos após o eventual desligamento do colaborador.
04 - Compliance Externo
Todos os clientes da CODE, na figura de um responsável legal, devem ler, concordar e assinar o "NDA de Cliente" até o dia 31/03/2024. O conteúdo do "NDA de Cliente" deve estar publicado, de maneira irrestrita, no endereço https://codecycle.com.br/lgpd/nda_cliente. A CODE deve armazenar o "NDA de Colaborador" e o "Termo de Responsabilidade de Estação de Trabalho" assinados digitalmente de acordo com a Lei 14.063/2020 para cada colaborador atuante em seu quadro de colaboradores e manter esses arquivos armazenados pelo período de 5 anos após o eventual desligamento do colaborador.
05 - Transparência
A fim de fornecer informações claras e acessíveis sobre as práticas de tratamento de dados da CODE, estarão disponíveis para acesso via internet, de maneira irrestrita, os seguintes documentos:
| Documento | Propósito | Escopo |
|---|---|---|
| PLANO DIRETOR DE PROTEÇÃO DE DADOS (este documento) | Fornecer diretrizes para implantação das melhores práticas da Segurança da Informação | Organizacional |
| Endereço: https://codecycle.com.br/lgpd/plano_diretor_protecao_dados | ||
| Nomeação de DPO | Fornecer informações sobre o ENCARREGADO DE PROTEÇÃO DE DADOS da CODE | Organizacional |
| Endereço: https://codecycle.com.br/lgpd/nomeacao_dpo | ||
| Política de Privacidade dos Dados | Fornecer informações sobre a privacidade dos dados, oferecendo transparência sobre coleta, armazenamento e tratamento | Organizacional |
| Endereço: https://codecycle.com.br/lgpd/privacidade | ||
| Termos de Uso | Estabelecer as regras e responsabilidades das partes na utilização de nossos serviços | Organizacional |
| Endereço: https://codecycle.com.br/lgpd/termos_de_uso | ||
| Registro das Operações de Tratamento de Dados Pessoais | Fornecer informações sobre o tratamento de dados pessoais em cada sistema desenvolvido ou operado pela CODE | Cada Sistema |
| Endereço: https://codecycle.com.br/lgpd/ropa | ||
| NDA de Colaborador | Garantir o acordo de confidencialidade entre CODE e seus colaboradores | Cada Contratação |
| Endereço: https://codecycle.com.br/lgpd/nda_colaborador | ||
| NDA de Cliente | Garantir o acordo de confidencialidade entre CODE e seus clientes | Cada Contratação |
| Endereço: https://codecycle.com.br/lgpd/nda_cliente | ||
| Avaliação de Segurança de Sistemas | Garantir a conformidade de cada sistema ao Plano Diretor de Proteção de Dados | Cada Sistema |
| Endereço: https://codecycle.com.br/lgpd/avaliacao_seguranca_sistemas | ||
06 - Classificação de Dados
Os dados tratados em sistemas da CODE deverão ser criteriosamente classificados quanto aos seguintes atributos:
- Tipo: PESSOAL ou EMPRESARIAL
- Categoria de Titular: "Titulares em Geral" ou "Crianças e Adolescentes" ou "Idosos"
- Sigilo: SENSÍVEL ou NÃO SENSÍVEL
- Armazenamento: "Criptografado" ou "Não Decifrável" ou "Mascarado" ou "Legível"
- Cofre de Chaves: "Utilizado" ou "Não Utilizado" ou "Não Aplicável"
- Salt: "Utilizado" ou "Não Utilizado" ou "Não Aplicável"
- Anonimizado: SIM ou NÃO
- Pseudonimizado: SIM ou NÃO
- Criptografia em Repouso: SIM ou NÃO
- Tráfego Criptografado: SIM ou NÃO
- Tráfego Mascarado: SIM ou NÃO
- Tempo de Armazenamento: Quantidade de anos
- Nuvem: "Microsoft Azure" ou "GCP"
Para os sistemas que já se encontram em operação, a CODE deve realizar a classificação dos dados, de acordo com o modelo definido, até o dia 31/03/2024. Para os sistemas em desenvolvimento, a CODE deve realizar essa classificação antes de serem instalados em ambientes operativos.
As matrizes de classificação dos dados não serão divulgadas, a não ser mediante solicitação formal e devidamente identificada para o e-mail: atendimento@codecycle.com.br.
07 - Estratégia de Continuidade de Negócio
A CODE utiliza os provedores de nuvem Microsoft Azure e Google Cloud Platform. Até 31/03/2024, a CODE deve classificar cada sistema de acordo com os seguintes atributos:
- Nuvem: AZURE ou GCP
- Backup na Nuvem: MENSAL ou SEMANAL ou DIÁRIO ou NUNCA
- Backup com Geo-Replicação: MENSAL ou SEMANAL ou DIÁRIO ou NUNCA
- Backup em Mídia Externa: MENSAL ou SEMANAL ou DIÁRIO ou NUNCA
- Última Validação de Restore: Data da última validação do processo de restore
Para os sistemas que já se encontram em operação, a CODE deve realizar a classificação dos sistemas, de acordo com o modelo definido, até o dia 31/03/2024. Para os sistemas em desenvolvimento, a CODE deve realizar essa classificação antes de serem instalados em ambientes operativos.
As matrizes de classificação dos sistemas não serão divulgadas, a não ser mediante solicitação formal e devidamente identificada para o e-mail: atendimento@codecycle.com.br.
08 - Proteção contra PERDA DE DADOS
Entendemos essa ameaça como qualquer DESASTRE ou INCIDENTE que corrompe ou destrói dados. Como estratégia de proteção contra esse tipo de ameaça, praticamos:
- Rotinas de BACKUP e RESTORE
- Geo-Replicação de Dados
- Avaliação de Segurança de Sistemas
09 - Proteção contra SEQUESTRO DE DADOS
Entendemos essa ameaça como qualquer ATAQUE onde o controle dos dados é perdido e só recuperado mediante pagamento. Como estratégia de proteção contra esse tipo de ameaça, praticamos:
- Rotinas de BACKUP e RESTORE
- Hardening (Rede, Servidores, Serviços [API], Contas de Acesso e Estações de Trabalho).
- Avaliação de Segurança de Sistemas
- Compliance Interno
- Compliance Externo
10 - Proteção contra VAZAMENTO DE DADOS
Entendemos essa ameaça como qualquer ATAQUE onde o dado é extraído da organização sem a prévia autorização. Como estratégia de proteção contra esse tipo de ameaça, praticamos:
- Rotinas de BACKUP e RESTORE
- Hardening (Rede, Servidores, Serviços [API], Contas de Acesso e Estações de Trabalho).
- Classificação de Dados
- Avaliação de Segurança de Sistemas
- Compliance Interno
- Compliance Externo
11 - Proteção contra VANDALISMO DE DADOS
Entendemos essa ameaça como qualquer ATAQUE onde o dado é alterado para desqualificar a reputação da empresa. Como estratégia de proteção contra esse tipo de ameaça, praticamos:
- Rotinas de BACKUP e RESTORE
- Hardening (Rede, Servidores, Serviços [API], Contas de Acesso e Estações de Trabalho).
- Classificação de Dados
- Avaliação de Segurança de Sistemas
- Compliance Interno
- Compliance Externo
12 - Avaliação de Segurança de Sistemas
A segurança de cada sistema deve ser garantida de acordo com o presente plano. Todos os sistemas devem ser avaliados nos seguintes quesitos:
- Armazenamento de Dados
- Tráfego de Dados
- Código-Fonte (SAST)
- Teste de Penetração (DAST)
Para os sistemas que já se encontram em operação, a CODE deve realizar a avaliação da segurança, de acordo com o modelo definido, até o dia 31/03/2024. Para os sistemas em desenvolvimento, a CODE deve realizar essa avaliação antes de serem instalados em ambientes operativos.
Os resultados das avaliações de segurança dos sistemas não serão divulgados, a não ser mediante solicitação formal e devidamente identificada para o e-mail: atendimento@codecycle.com.br.
Canal de Comunicação
Caso você ou a organização que representa tenha se sentido lesado ou atendido pela CODE de maneira divergente do que se apresenta nesse plano, por favor, entre em contato através do e-mail: atendimento@codecycle.com.br.