LGPD

1.1. A empresa possui uma Política de Segurança da Informação documentada e disponível para todos os colaboradores e partes interessadas? 

Sim, a empresa mantém uma Política de Segurança da Informação documentada e acessível a todos os colaboradores e partes interessadas, disponível em materiais de consulta, estudo e documentos de políticas internas, além das diretrizes específicas de nossos clientes. 

1.2. As políticas de segurança são revisadas periodicamente para garantir que estão atualizadas e alinhadas com as normas vigentes? 

Sim, revisamos periodicamente nossa política de segurança interna, bem como as políticas relacionadas aos nossos clientes, para garantir que estejam atualizadas e em conformidade com as normas vigentes. 

1.3. A alta administração está envolvida na definição e implementação da Política de Segurança da Informação? 

Sim, a definição e implementação da Política de Segurança da Informação são realizadas em alinhamento entre a diretoria da empresa e os gestores dos nossos clientes, assegurando uma abordagem colaborativa. 

1.4. Há treinamento em segurança da informação para os colaboradores e terceiros? 

Sim, realizamos treinamentos em segurança da informação para todos os colaboradores e terceiros no momento da contratação, abordando temas essenciais de segurança e confidencialidade. 

1.5. A empresa exige acordos de confidencialidade para todos os colaboradores e parceiros?

Sim, exigimos acordos de confidencialidade formais para todos os colaboradores e parceiros, incluindo cláusulas contratuais específicas para novos colaboradores ao ingressarem na empresa. 

2.1. A empresa trata dados pessoais dos clientes ou funcionários dos clientes?
Sim, a empresa trata dados pessoais dos clientes estritamente necessários para faturamento e cadastro. No caso de funcionários dos clientes, tratamos apenas dados de contato, como nome, telefone e e-mail, garantindo o mínimo necessário para comunicação e suporte. 

2.2. Existe um encarregado ou DPO (Data Protection Officer) responsável pela conformidade com a LGPD?
Sim, Luis Marcelo

2.3. Após saída do funcionário, como os dados são tratados na empresa?
O cliente é responsável pelo tratamento interno dos dados do cliente, ao que diz respeito as informações passadas a InterConnect, os dados de contato são excluidos num período de 15-30 dias. 

3.1. A empresa possui políticas e controles de acesso para garantir que apenas pessoas autorizadas possam acessar dados sensíveis?

Sim, nossa empresa implementa políticas rigorosas e controles de acesso que restringem o acesso a documentos e setores específicos, assegurando que apenas pessoas autorizadas possam acessar dados sensíveis. 

3.2. O acesso a dados pessoais é restrito com base na necessidade de conhecimento?

Sim, nossa empresa implementa políticas rigorosas e controles de acesso que restringem o acesso a documentos e setores específicos, assegurando que apenas pessoas autorizadas possam acessar dados sensíveis. 

 3.3. São utilizados métodos de autenticação segura, como autenticação multifatorial (MFA), para proteger o acesso aos sistemas? 

Sim, utilizamos métodos de autenticação segura, incluindo autenticação multifatorial (MFA), para proteger o acesso aos e-mails corporativos, computadores e servidores, reforçando a segurança dos sistemas. 

3.4. O acesso privilegiado é controlado e monitorado? Existem revisões regulares para contas com acesso administrativo?

Sim, o acesso privilegiado é cuidadosamente controlado e monitorado, com revisões regulares e registro de logs para garantir a conformidade e a segurança das contas com acesso administrativo. 

 3.5. Existem procedimentos para desativação imediata de acessos após o término do vínculo de um colaborador ou prestador?

Sim, seguimos procedimentos internos rigorosos para a desativação imediata de acessos ao término do vínculo de colaboradores ou prestadores, além de notificarmos nossos clientes para ações conjuntas quando necessário. 

4.1. A empresa possui um plano de resposta a incidentes de segurança da informação?  

Sim, a empresa conta com um plano de resposta a incidentes de segurança da informação, cobrindo desde a notificação inicial do problema até a resolução completa, incluindo testes de verificação e aprovação final do cliente para garantir a normalização do ambiente. 

4.2. Há um canal disponível para os colaboradores reportarem incidentes de segurança de forma confidencial? 

     Sim, contato via e-mail para dpo@inter.bz

5.1. Existem políticas de segurança específicas para trabalho remoto, como o uso de VPNs? 

 Sim, a empresa possui políticas de segurança específicas para trabalho remoto, que incluem o uso de VPNs e outros mecanismos de proteção. O trabalho remoto é realizado exclusivamente em máquinas com suporte contratado, garantindo um ambiente seguro e controlado para acesso aos sistemas corporativos. 

5.2. A empresa implementa criptografia de dados em dispositivos móveis e notebooks utilizados fora das instalações?

Sim, a empresa implementa criptografia em todos os notebooks corporativos, e também oferece essa configuração de segurança para os dispositivos de clientes que optam por essa proteção adicional. 

 5.3. A empresa fornece diretrizes para os colaboradores sobre o manuseio seguro de dados em locais públicos e acessos remotos?

Sim, a empresa orienta os colaboradores sobre o manuseio seguro de dados em locais públicos e durante acessos remotos, com ênfase nos cuidados com equipamentos e dispositivos durante deslocamentos e nos procedimentos para evitar exposição de dados de acesso. 

6.1. Existe um processo documentado para gestão do ciclo de vida de ativos de informação, desde a aquisição até o descarte? 

Sim, a empresa possui um processo documentado para a gestão do ciclo de vida dos ativos de informação, que abrange desde a aquisição até o descarte. Esse processo inclui controle rigoroso de itens internos e dos ativos de clientes, monitorando modificações, manutenções e suporte, além do acompanhamento de reincidências e o descarte seguro.

6.2. A empresa possui normas para descarte seguro de mídias e equipamentos, evitando recuperação de dados sensíveis?

Sim, a empresa adota normas específicas para o descarte seguro de mídias e equipamentos que contêm dados sensíveis, como discos rígidos e SSDs, garantindo a eliminação dos dados e a prevenção de qualquer recuperação posterior, seja para dispositivos próprios ou de clientes 

 6.3. É realizada a sanitização de dados de dispositivos antes de serem descartados ou repassados? 

Sim, antes do descarte ou repasse, os dispositivos passam por uma sanitização completa, com formatação, uso de técnicas de "wipe" para impedir a recuperação de dados e, quando necessário, destruição física para garantir a segurança total. 

6.4. Existem registros das atividades de descarte e sanitização dos ativos?

Sim, todas as atividades de descarte e sanitização são registradas, seja em chamados com clientes ou em registros internos, no caso de equipamentos próprios, documentando cada ação realizada. 

7.1. A empresa possui uma política de backup de dados? 

Sim, a empresa possui uma política de backup de dados, estabelecendo diretrizes claras para a realização e gestão dos backups. 

7.2. Os backups são realizados regularmente e armazenados de forma segura?

Sim, os backups são realizados regularmente e armazenados de forma segura, utilizando dispositivos e locais distintos para proteção adicional. 

 7.3. São feitos testes de restauração para garantir a integridade e disponibilidade dos backups? 

Sim, realizamos testes periódicos de restauração para verificar a integridade e garantir a disponibilidade dos dados armazenados em backup. 

8.1. Há procedimentos para monitorar e aplicar atualizações e patches de segurança em softwares e dispositivos?
Sim,existe o monitoramento dos serviços por parte das equipes responsáveis, bem como sistemas de alertas para qualquer ativididade anormal. 

8.2. A empresa realiza testes de segurança, como análise de vulnerabilidade ou pentests, periodicamente?
Sim, são realizadas análises e testes antes da implementação de qualquer mudança, a fim de identificar possíveis vulnerabilidades e garantir a segurança dos serviços prestados.

83. Existem mecanismos para manter a conformidade com leis e regulamentações, incluindo revisões periódicas?
Sim, são realizadas reuniões semanais para debater possíveis problemas, resoluções e adequações, garantindo a conformidade com leis e regulamentações aplicáveis. Essas reuniões permitem a revisão contínua dos processos e a implementação de melhorias conforme necessário.

Esse documento, ao ser compartilhado com os colaboradores, reforça o compromisso com a segurança e proteção de dados e estabelece uma base sólida de práticas para o uso seguro do Google Workspace e para o controle rigoroso de acessos feito pela equipe de TI.

Boas Práticas de Proteção e Controle de Acessos

• Acesso Seguro e Autenticação:

  • Autenticação Multifatorial (MFA): Exigir MFA para todos os colaboradores ao acessar o Google Workspace, aumentando a segurança dos dados sensíveis.

  • Gerenciamento de Dispositivos: Configurar políticas de gerenciamento de dispositivos para monitorar o uso de computadores e dispositivos móveis com acesso ao Workspace, permitindo que apenas dispositivos autorizados possam acessar dados corporativos.
    
    

• Gerenciamento de Permissões e Compartilhamento de Dados:

  • Permissões de Compartilhamento: Restringir as permissões de compartilhamento de arquivos, permitindo que os dados sensíveis sejam acessíveis somente a colaboradores autorizados.

  • Uso de Grupos para Controle de Acesso: Utilizar grupos no Google Workspace para gerenciar o acesso a documentos e pastas compartilhadas, facilitando o controle de permissões por setor ou função.
    
    

• Armazenamento e Descarte Seguro de Dados:

  • Backup e Retenção de Dados: Configurar políticas de backup e retenção de e-mails e arquivos importantes, permitindo que as informações sejam restauradas conforme necessário.

  • Procedimento de Exclusão de Dados: Estabelecer uma política de exclusão de dados que inclua a remoção definitiva de arquivos que não são mais necessários, utilizando as configurações de segurança do Google Workspace para descartar dados sensíveis.
    
    

• Serviços de Controle Fornecidos pela Empresa de TI

  • Controle de Usuários e Acessos:

    • Gerenciamento Centralizado de Usuários: A empresa de TI gerencia os acessos, permitindo que somente usuários autorizados obtenham acesso às informações e sistemas, garantindo a segurança de dados sensíveis e de contato.

    • Revisão Regular de Acessos: Realizar revisões periódicas para identificar e remover acessos de usuários que não precisam mais de acesso aos dados sensíveis ou sistemas.
      
      

• Segurança de Dados Pessoais e Descarte Seguro:

  • Proteção e Monitoramento de Dados Pessoais: Dados pessoais, especialmente aqueles usados para comunicação e contato, são protegidos com práticas de monitoramento para garantir que o acesso seja feito conforme as políticas de privacidade.

  • Descarte Seguro de Dados Pessoais: A empresa de TI realiza a exclusão e o descarte seguro dos dados pessoais quando eles não são mais necessários, conforme a política de privacidade e os requisitos legais aplicáveis.
    
    

• Boas Práticas para Colaboradores

  • Senhas Fortes e Únicas: Orientar todos os colaboradores a usar senhas fortes e exclusivas para acessar o Workspace, com diretrizes claras de criação e periodicidade de troca de senhas.

  • Atenção ao Compartilhamento de Informações: Evitar compartilhar dados sensíveis por e-mail ou em documentos públicos, e usar as configurações de segurança do Workspace para restringir o acesso a pessoas específicas.

  • Cuidados com Dispositivos Móveis e Desktops: Proteger fisicamente e virtualmente os dispositivos que possuem acesso ao Workspace, incluindo bloquear a tela e evitar acessos de redes públicas não seguras.
    
    

• Política de Conformidade e Monitoramento

  • Auditorias e Logs de Acesso: Realizar auditorias e manter logs de acesso aos dados, utilizando as ferramentas de relatórios do Google Workspace para monitorar o uso de dados e identificar possíveis atividades suspeitas.

  • Atualizações de Segurança e Revisão de Políticas: Reavaliar regularmente as políticas de segurança e controle de acessos para garantir alinhamento com as melhores práticas e adaptar o documento conforme novas ameaças e soluções tecnológicas surgirem.