CODECYCLE - PLANO DIRETOR DE PROTEÇÃO DE DADOS

Versão: 1.0 - 19/01/2024

Autor: Bruno César Leitão

A empresa CODECYCLE INFORMÁTICA LTDA, registrada sob o CNPJ 21.768.520/0001-19 e localizada na Rua Dr. Thirso Martins, número 100 (conjuntos 118 e 119), no bairro da Vila Mariana, na cidade de São Paulo, adiante referida pelo nome fantasia "CODE", reconhecendo a importância da conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD - Lei nº 13.709/2018), e alinhada com as melhores práticas de Segurança da Informação, publica o presente documento. Este plano tem como objetivo orientar o Planejamento, Desenvolvimento, Controle e Acompanhamento de ações destinadas a assegurar os direitos à privacidade, à segurança, à transparência e à responsabilidade no tratamento de dados por parte da empresa.

Glossário

  • DADO PESSOAL: Qualquer informação relacionada a uma pessoa natural identificada ou identificável. Isso inclui, mas não se limita a, nome, identificação, dados de contato, características físicas, localização, entre outros.
  • DADO PESSOAL SENSÍVEL: Dados pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, dados genéticos ou biométricos, quando vinculados a uma pessoa natural.
  • TITULAR DOS DADOS: Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
  • CONTROLADOR: Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
  • OPERADOR (ou PROCESSADOR): Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
  • ENCARREGADO DE PROTEÇÃO DE DADOS (DPO): Indivíduo designado pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). O DPO também supervisiona o cumprimento da LGPD dentro da organização.
  • TRATAMENTO DE DADOS: Toda operação realizada com dados pessoais, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação.
  • ANONIMIZAÇÃO: Processo pelo qual dados pessoais são tornados irreversivelmente anônimos, de modo que não possam mais ser associados a um indivíduo específico.
  • PSEUDONIMIZAÇÃO: Processo pelo qual o tratamento de dados é realizado de maneira a garantir que não seja possível identificar o titular sem o uso de informações adicionais.
  • DADO EMPRESARIAL: Qualquer informação pública relacionada a uma pessoa jurídica, incluindo, mas não se limitando a, razão social, nome fantasia, CNPJ, endereço comercial, informações de contato e quaisquer outros dados pertinentes à pessoa jurídica.
  • DADO EMPRESARIAL SENSÍVEL: Qualquer informação relacionada a uma pessoa jurídica, incluindo, mas não se limitando a, informações de faturamento, arquivos digitais, títulos, relatórios, entre outros.
  • NDA (Non-disclosure agreements): Acordo de confidencialidade estabelecido entre partes envolvidas no TRATAMENTO DE DADOS.
  • DLP (Data Loss Prevention): Prevenção contra perda de dados.
  • ANPD: Autoridade Nacional de Proteção de Dados.
  • ATPP: Agentes de Tratamento de Pequeno Porte.

Objetivo

Garantir a proteção contra PERDA, SEQUESTRO, VAZAMENTO e VANDALISMO de dados.

Publicação e Histórico de Revisões

A versão vigente do presente documento deve estar publicada, de maneira irrestrita, no endereço https://codecycle.com.br/lgpd/plano_diretor_protecao_dados. O histórico de versões desse plano não precisa ser publicado.

Diretrizes do Plano

01 - DPO

Nomear e divulgar o senhor Bruno César Leitão, Arquiteto de Soluções em Software, como ENCARREGADO DE PROTEÇÃO DE DADOS da CODE até o dia 19/01/2024. Sua nomeação deve estar publicada, de maneira irrestrita, no endereço https://codecycle.com.br/lgpd/nomeacao_dpo.

02 - Registro das Operações de Tratamento de Dados Pessoais

Preencher e divulgar o Registro das Operações de Tratamento de Dados Pessoais para cada sistema desenvolvido ou operado pela CODE, de maneira indexada e irrestrita, no endereço https://codecycle.com.br/lgpd/ropa. Para os sistemas que já se encontram em operação, a CODE deve divulgar esse registro, de acordo com o modelo definido pela ANPD para ATPP, até o dia 31/03/2024. Para os sistemas em desenvolvimento, a CODE deve divulga esse registro antes de serem instalados em ambientes operativos.

03 - Compliance Interno

Todos os colaboradores da CODE devem ler, concordar e assinar o "NDA de Colaborador" até o dia 31/03/2024. O conteúdo do "NDA de Colaborador" deve estar publicado, de maneira irrestrita, no endereço https://codecycle.com.br/lgpd/nda_colaborador. Todos os colaboradores da CODE devem ler, concordar e assinar o "Termo de Responsabilidade de Estação de Trabalho" até o dia 31/03/2024. O conteúdo do "Termo de Responsabilidade de Estação de Trabalho" deve estar publicado, de maneira irrestrita, no endereço https://codecycle.com.br/lgpd/termo_estacao_trabalho. A CODE deve armazenar o "NDA de Colaborador" e o "Termo de Responsabilidade de Estação de Trabalho" assinados digitalmente de acordo com a Lei 14.063/2020 para cada colaborador atuante em seu quadro de colaboradores e manter esses arquivos armazenados pelo período de 5 anos após o eventual desligamento do colaborador.

04 - Compliance Externo

Todos os clientes da CODE, na figura de um responsável legal, devem ler, concordar e assinar o "NDA de Cliente" até o dia 31/03/2024. O conteúdo do "NDA de Cliente" deve estar publicado, de maneira irrestrita, no endereço https://codecycle.com.br/lgpd/nda_cliente. A CODE deve armazenar o "NDA de Colaborador" e o "Termo de Responsabilidade de Estação de Trabalho" assinados digitalmente de acordo com a Lei 14.063/2020 para cada colaborador atuante em seu quadro de colaboradores e manter esses arquivos armazenados pelo período de 5 anos após o eventual desligamento do colaborador.

05 - Transparência

A fim de fornecer informações claras e acessíveis sobre as práticas de tratamento de dados da CODE, estarão disponíveis para acesso via internet, de maneira irrestrita, os seguintes documentos:

Documento Propósito Escopo
PLANO DIRETOR DE PROTEÇÃO DE DADOS (este documento) Fornecer diretrizes para implantação das melhores práticas da Segurança da Informação Organizacional
Endereço: https://codecycle.com.br/lgpd/plano_diretor_protecao_dados
Nomeação de DPO Fornecer informações sobre o ENCARREGADO DE PROTEÇÃO DE DADOS da CODE Organizacional
Endereço: https://codecycle.com.br/lgpd/nomeacao_dpo
Política de Privacidade dos Dados Fornecer informações sobre a privacidade dos dados, oferecendo transparência sobre coleta, armazenamento e tratamento Organizacional
Endereço: https://codecycle.com.br/lgpd/privacidade
Termos de Uso Estabelecer as regras e responsabilidades das partes na utilização de nossos serviços Organizacional
Endereço: https://codecycle.com.br/lgpd/termos_de_uso
Registro das Operações de Tratamento de Dados Pessoais Fornecer informações sobre o tratamento de dados pessoais em cada sistema desenvolvido ou operado pela CODE Cada Sistema
Endereço: https://codecycle.com.br/lgpd/ropa
NDA de Colaborador Garantir o acordo de confidencialidade entre CODE e seus colaboradores Cada Contratação
Endereço: https://codecycle.com.br/lgpd/nda_colaborador
NDA de Cliente Garantir o acordo de confidencialidade entre CODE e seus clientes Cada Contratação
Endereço: https://codecycle.com.br/lgpd/nda_cliente
Avaliação de Segurança de Sistemas Garantir a conformidade de cada sistema ao Plano Diretor de Proteção de Dados Cada Sistema
Endereço: https://codecycle.com.br/lgpd/avaliacao_seguranca_sistemas


06 - Classificação de Dados

Os dados tratados em sistemas da CODE deverão ser criteriosamente classificados quanto aos seguintes atributos:

  • Tipo: PESSOAL ou EMPRESARIAL
  • Categoria de Titular: "Titulares em Geral" ou "Crianças e Adolescentes" ou "Idosos"
  • Sigilo: SENSÍVEL ou NÃO SENSÍVEL
  • Armazenamento: "Criptografado" ou "Não Decifrável" ou "Mascarado" ou "Legível"
  • Cofre de Chaves: "Utilizado" ou "Não Utilizado" ou "Não Aplicável"
  • Salt: "Utilizado" ou "Não Utilizado" ou "Não Aplicável"
  • Anonimizado: SIM ou NÃO
  • Pseudonimizado: SIM ou NÃO
  • Criptografia em Repouso: SIM ou NÃO
  • Tráfego Criptografado: SIM ou NÃO
  • Tráfego Mascarado: SIM ou NÃO
  • Tempo de Armazenamento: Quantidade de anos
  • Nuvem: "Microsoft Azure" ou "GCP"

Para os sistemas que já se encontram em operação, a CODE deve realizar a classificação dos dados, de acordo com o modelo definido, até o dia 31/03/2024. Para os sistemas em desenvolvimento, a CODE deve realizar essa classificação antes de serem instalados em ambientes operativos.

As matrizes de classificação dos dados não serão divulgadas, a não ser mediante solicitação formal e devidamente identificada para o e-mail: atendimento@codecycle.com.br.

07 - Estratégia de Continuidade de Negócio

A CODE utiliza os provedores de nuvem Microsoft Azure e Google Cloud Platform. Até 31/03/2024, a CODE deve classificar cada sistema de acordo com os seguintes atributos:

  • Nuvem: AZURE ou GCP
  • Backup na Nuvem: MENSAL ou SEMANAL ou DIÁRIO ou NUNCA
  • Backup com Geo-Replicação: MENSAL ou SEMANAL ou DIÁRIO ou NUNCA
  • Backup em Mídia Externa: MENSAL ou SEMANAL ou DIÁRIO ou NUNCA
  • Última Validação de Restore: Data da última validação do processo de restore

Para os sistemas que já se encontram em operação, a CODE deve realizar a classificação dos sistemas, de acordo com o modelo definido, até o dia 31/03/2024. Para os sistemas em desenvolvimento, a CODE deve realizar essa classificação antes de serem instalados em ambientes operativos.

As matrizes de classificação dos sistemas não serão divulgadas, a não ser mediante solicitação formal e devidamente identificada para o e-mail: atendimento@codecycle.com.br.

08 - Proteção contra PERDA DE DADOS

Entendemos essa ameaça como qualquer DESASTRE ou INCIDENTE que corrompe ou destrói dados. Como estratégia de proteção contra esse tipo de ameaça, praticamos:

  • Rotinas de BACKUP e RESTORE
  • Geo-Replicação de Dados
  • Avaliação de Segurança de Sistemas

09 - Proteção contra SEQUESTRO DE DADOS

Entendemos essa ameaça como qualquer ATAQUE onde o controle dos dados é perdido e só recuperado mediante pagamento. Como estratégia de proteção contra esse tipo de ameaça, praticamos:

  • Rotinas de BACKUP e RESTORE
  • Hardening (Rede, Servidores, Serviços [API], Contas de Acesso e Estações de Trabalho).
  • Avaliação de Segurança de Sistemas
  • Compliance Interno
  • Compliance Externo

10 - Proteção contra VAZAMENTO DE DADOS

Entendemos essa ameaça como qualquer ATAQUE onde o dado é extraído da organização sem a prévia autorização. Como estratégia de proteção contra esse tipo de ameaça, praticamos:

  • Rotinas de BACKUP e RESTORE
  • Hardening (Rede, Servidores, Serviços [API], Contas de Acesso e Estações de Trabalho).
  • Classificação de Dados
  • Avaliação de Segurança de Sistemas
  • Compliance Interno
  • Compliance Externo

11 - Proteção contra VANDALISMO DE DADOS

Entendemos essa ameaça como qualquer ATAQUE onde o dado é alterado para desqualificar a reputação da empresa. Como estratégia de proteção contra esse tipo de ameaça, praticamos:

  • Rotinas de BACKUP e RESTORE
  • Hardening (Rede, Servidores, Serviços [API], Contas de Acesso e Estações de Trabalho).
  • Classificação de Dados
  • Avaliação de Segurança de Sistemas
  • Compliance Interno
  • Compliance Externo

12 - Avaliação de Segurança de Sistemas

A segurança de cada sistema deve ser garantida de acordo com o presente plano. Todos os sistemas devem ser avaliados nos seguintes quesitos:

  • Armazenamento de Dados
  • Tráfego de Dados
  • Código-Fonte (SAST)
  • Teste de Penetração (DAST)

Para os sistemas que já se encontram em operação, a CODE deve realizar a avaliação da segurança, de acordo com o modelo definido, até o dia 31/03/2024. Para os sistemas em desenvolvimento, a CODE deve realizar essa avaliação antes de serem instalados em ambientes operativos.

Os resultados das avaliações de segurança dos sistemas não serão divulgados, a não ser mediante solicitação formal e devidamente identificada para o e-mail: atendimento@codecycle.com.br.

Canal de Comunicação

Caso você ou a organização que representa tenha se sentido lesado ou atendido pela CODE de maneira divergente do que se apresenta nesse plano, por favor, entre em contato através do e-mail: atendimento@codecycle.com.br.