Política de segurança da informação para fornecedores - proteção de dados pessoais
1. Objetivo
O objetivo deste documento é o de definir as diretrizes de segurança da informação mínimas para minimizar os riscos relacionados à segurança da informação e tratamento dos dados por nossos fornecedores.
2. Definições
Não há.
3. Responsabilidades
Compete ao Administrativo comunicar e monitorar o cumprimento desta Política.
É responsabilidade dos fornecedores terem conhecimento e concordância das diretrizes expostas neste documento.
4. Diretrizes
4.1 Processo de gestão dos fornecedores
O processo de gestão dos nossos fornecedores, considera os seguintes passos:
-
Homologação do fornecedor
-
Contratação do fornecedor
-
Monitoramento do fornecedor
-
Reavaliação de fornecedor
-
Mudança de fornecedor
4.1.1 Homologação do fornecedor
Todos os fornecedores passarão por um processo de análise de riscos de segurança da informação e privacidade, antes da sua efetiva contratação, visando identificar os riscos e impactos aos negócios da Benkyou.
Neste processo de homologação será definida a criticidade deste fornecedor considerando o impacto que este poderá ocasionar a Benkyou:
4.1.2 Contratação do fornecedor
Esta política para fornecedores é parte integrante do contrato de prestação de serviço de todos os fornecedores da Benkyou.
No ato da assinatura do contrato de prestação de serviço o fornecedor assume total conhecimento e concordância com as diretrizes expostas neste documento.
4.1.3 Monitoramento do fornecedor
De acordo com os produtos ou serviços entregues pelo fornecedor, é definido a periodicidade do monitoramento do fornecedor, conforme sua classificação, onde serão avaliadas as questões de SLA de atendimento de cada entrega.
4.1.4 Reavaliação do fornecedor
De acordo com os produtos ou serviços entregues pelo fornecedor, é definido a periodicidade da reavaliação do fornecedor, conforme sua classificação, onde serão revisitados os requisitos relacionados aos riscos de segurança da informação e privacidade e seus controles, conforme realizado na homologação.
4.1.5 Mudança do fornecedor
Toda mudança de fornecedores deverá ser gerenciada pelo processo de gestão de mudanças PR.SI.010 ou pelo plano de ação FO.SI.001.
4.2. Diretrizes de segurança da infirmação
4.2.1 Análise de riscos de Segurança da Informação e Privacidade
Assegurar a confidencialidade, integridade e disponibilidade das informações da Organização, mediante utilização de mecanismos de segurança da informação e privacidade, balanceando fatores de risco, tecnologia e custo.
-
Garantir a proteção adequada das informações e dos sistemas contra acesso indevido, cópia, leitura, modificação, destruição e divulgação não autorizados.
-
Assegurar que os ativos de informação sejam utilizados apenas para as finalidades aprovadas pela Organização, estando sujeitos à monitoração, rastreabilidade e auditoria.
-
Manter sistemática para identificação de vulnerabilidades técnicas, visando garantir a proteção, detecção, resposta e recuperação contra-ataques cibernéticos.
-
Garantir o cumprimento desta Política, das Normas e Padrões de Segurança da Informação e Privacidade da Organização.
-
Garantir que todos os seus colaboradores assinem clausulas de confidencialidade das informações, mesmo após o encerramento do contrato.
4.3. Continuidade do negócio
-
Assegurar a existência de processos para continuidade de negócios, que permitam a manutenção dos serviços à Benkyou.
4.4. Propriedade Intelectual
-
O fornecedor é responsável por garantir a conformidade legal e a propriedade intelectual de todo e qualquer sistema ou conteúdo utilizado durante a realização de seu serviço e dos softwares utilizados, garantido que não ferem qualquer tipo de lei de direitos autorais.
4.5. Auditoria
-
A Benkyou se reserva no direito de realizar auditorias de segurança da informação em seus fornecedores, quando as informações fornecidas forem de classificação RESTRITA ou CONFIDENCIAL.
4.6. Endpoints
-
O fornecedor se compromete inteiramente pela segurança dos dados de seus equipamentos.
-
O fornecedor é responsável por garantir que os equipamentos ou mídias que utiliza estão com todos os softwares atualizados, legalizados, com antivírus e livres de qualquer tipo de software que possa prejudicar a Benkyou.
4.7. E-Mails
-
A Benkyou reserva-se o direito de monitorar os e-mails enviados e recebidos pelo fornecedor, quando este utilizar a plataforma de gerenciamento de e-mails fornecida pelo Benkyou.
-
O fornecedor assume que todos os e-mails enviados durante a execução de serviço, utilizando conta fornecida pela Benkyou, são e-mails corporativos e podem ser monitorados;
-
A qualquer tempo e de qualquer local o fornecedor não deve encaminhar e-mails para colaboradores da Benkyou cujo conteúdo não tenha relação com o trabalho;
4.8. Manuseio Logico de Informações
-
O fornecedor se compromete a apenas receber informações da Benkyou que tenham relação direta com seu serviço e após consentimento e autorização formal do proprietário da informação;
-
O fornecedor se compromete com a total confidencialidade, integridade e disponibilidade das informações da Benkyou que lhe forem concedidas;
-
A divulgação interna das informações da Benkyou dentro da empresa do fornecedor deve ser formalmente informada alinhada entre as partes;
-
O fornecedor se compromete a não transmitir informações da Benkyou por canais de comunicação não seguros, que possam ocasionar vazamento destas informações;
-
O fornecedor se compromete com o descarte adequado e seguro das informações da Benkyou ao final do serviço ou quando elas não forem mais utilizadas (o que ocorrer primeiro);
4.9. Armazenamento Logico de Informações
-
O armazenamento de informações da Benkyou pelo fornecedor deve ser realizado de modo seguro, ou seja, com controle de acesso restrito aos envolvidos com o serviço dentro da empresa e com criptografia quando a informação for confidencial;
-
Caso o fornecedor esteja com uma mídia em trânsito contendo informações da Benkyou, este é responsável por garantir que a perda ou roubo desta mídia não implique no acesso a estas informações;
-
O fornecedor também se compromete com a garantia de que as informações da Benkyou não serão adulteradas durante o armazenamento em qualquer tipo de mídia sob sua responsabilidade.
4.10. Acesso à Rede Interna (local ou remoto)
-
O fornecedor somente poderá́ acessar a rede interna ou remotamente, após autorização formal e mediante autenticação individual na rede da Benkyou;
-
O acesso do fornecedor à rede poderá́ ser monitorado pelo setor de Tecnologia da Informação da Benkyou quando este julgar necessário;
4.11. Uso de Senhas
-
O fornecedor não deve solicitar, aceitar ou utilizar senha de acesso dos colaboradores da Benkyou em nenhum caso;
-
Toda senha utilizada pelo fornecedor deve ter sido criada especificamente para este fim e identificá-lo de modo inequívoco;
-
A Benkyou é responsável por realizar a inativação da senha do fornecedor. Caso o fornecedor identifique que a credencial ainda está ativa, após finalização de contrato, este deve solicitar obrigatoriamente a sua desativação
-
O fornecedor não deve compartilhar senhas utilizadas para acesso a sistemas da Benkyou entre seus colaboradores, ou seja, cada credencial e senha deve identificar um único colaborador do fornecedor;
-
O fornecedor é responsável pela segurança das senhas que lhe são entregues e deve comunicar imediatamente à Benkyou a sua perda ou vazamento.
4.12. Acesso à Internet
-
A Benkyou se reserva o direito de monitorar o acesso à internet do fornecedor a fim de para garantir o uso adequado;
-
A Benkyou se reserva o direito de bloquear os sites que considerar inadequados para a empresa, sem prévio aviso;
-
O acesso à internet realizado pelo fornecedor deverá ter como único objetivo o cumprimento de seu serviço.
4.13. Colaboradores do Fornecedor
-
O fornecedor deve garantir que seus colaboradores alocados para a realização de determinado serviço possuem a formação e qualificação necessária para tal;
-
O fornecedor é responsável por comunicar imediatamente à Benkyou o desligamento de seus colaboradores, quando estes estejam prestando algum serviço interno ou possuam credenciais de acesso aos sistemas da Benkyou;
-
O fornecedor deve comunicar imediatamente qualquer mudança na lista de seus colaboradores autorizados a prestar o serviço interno à Benkyou;
-
Todos os colaboradores do fornecedor que prestam serviço à Benkyou assumem total conhecimento e concordância com o conteúdo deste documento.
4.14. Tratamento de dados pessoais
Os parceiros/ fornecedores que realizarem qualquer tipo de tratamento de dados pessoais da Benkyou ou de seus clientes, portanto que atuarem como Controlador conjunto ou Operador de dados pessoais, deverá concordar com os seguintes requisitos:
-
Assegurar a assistência com as obrigações da Benkyou em estar em conformidade com as leis de privacidade, dando suporte aos questionamentos realizados pela Benkyou, ou permitindo a realização de auditoria, previamente agendada, em relação ao tratamento realizado, sempre que necessário.
-
Assegurar que os dados pessoais tratados em nome da Benkyou, sejam tratados apenas para o propósito expresso nas instruções documentadas ou contrato.
-
Garantir que os dados pessoais tratados sob um determinado contrato não serão utilizados para fins de marketing ou propaganda.
-
Informar à Benkyou se, na sua opinião, uma instrução de tratamento violar uma regulamentação e/ou legislação aplicável.
-
Determinar e manter os registros necessários para apoiar a demonstração do compliance com suas obrigações para o tratamento de dados realizado em nome da Benkyou, como por exemplo, os registros das medidas técnicas e organizacionais de segurança das informações; o registro da transferência internacional.
-
Fornecer à Benkyou meios para estar em compliance com suas obrigações relativas a titulares de DP.
-
Assegurar que os arquivos temporários criados como um resultado do tratamento de DP sejam descartados seguindo os procedimentos documentados, dentro de um período especificado e documentado.
-
Ter a capacidade de retornar, transferir e/ou descartar DP de uma maneira segura. Convém também que sua política esteja disponível para a Benkyou.
-
Garantir que os dados pessoais transmitidos sobre uma rede de transmissão de dados possuam controles apropriados para assegurar que os dados alcancem seus destinos pretendidos.
-
Informar à Benkyou em um tempo hábil sobre as bases para a transferência de DP entre jurisdições e de qualquer mudança pretendida nesta questão, de modo que a Benkyou tenha a capacidade de contestar estas mudanças ou rescindir o contrato.
-
Especificar os países e as organizações internacionais para os quais DP possam, possivelmente, ser transferidos.
-
Registrar a divulgação de DP para terceiros, incluindo quais DP foram divulgados, para quem e quando.
-
Notificar a Benkyou sobre quaisquer solicitações legalmente obrigatórias para a divulgação de DP.
-
Rejeitar quaisquer solicitações para a divulgação de DP que não sejam legalmente obrigatórias, e antes de realizar quaisquer divulgações de DP informar a Benkyou.
-
Informar para a Benkyou qualquer uso de subcontratados para tratar DP, antes do uso.
-
Contratar um subcontratado para tratar DP, somente com base no contrato do Benkyou.
-
Informar a Benkyou sobre quaisquer alterações pretendidas relativas à adição ou substituição de subcontratados para tratar DP, dando assim a Benkyou a oportunidade de se opor a essas alterações.
5. Violações desta política
Qualquer violação das diretrizes constantes nesta política constitui-se em incidentes de segurança da informação e será́ devidamente registrado e analisado.
Após análise, serão deliberadas medidas disciplinares ao fornecedor, que podem incluir:
-
Advertência formal ou informal;
-
Cancelamento do contrato de prestação de serviço;
-
Multas previstas em contrato;
-
Ações judiciais ou abertura de boletim de ocorrência.
6. Referências
-
NBR ISO 27001:2013 – Sistema de Segurança da Informação;
-
NBR ISO 27701:2013 – Técnicas de segurança — Extensão da ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 para gestão da privacidade da informação — Requisitos e diretrizes
-
Lei 13709/2018 – Lei Geral de Proteção de Dados Pessoais.