1. OBJETIVOS

Este documento contém informações e formalizações de procedimento sobre as formas de coleta, guarda, utilização, compartilhamento, tratamento e divulgação de dados pessoais armazenados em sistemas da INPRIMA, bem como informa as medidas utilizadas para assegurar a proteção dos dados coletados na INPRIMA junto aos seus fornecedores, parceiros e colaboradores. Entende-se por fornecedores, parceiros e colaboradores as seguintes condições, não excluindo outras possibilidades que também possam ter acesso aos sistemas da INPRIMA: terceiros, parceiros, prestadores de serviço, dentre outras formas de colaboração com a INPRIMA.

2. REGRAS E RESPONSABILIDADES DA POLÍTICA

2.1 APLICABILIDADE DA POLÍTICA

2.1.1 Todos os fornecedores, parceiros e colaboradores que utilizam, mantêm ou lidam com ativos de informação da INPRIMA devem seguir esta política. Exceções da política ou uso diferente do quanto disposto neste documento serão permitidos somente quando aprovadas antecipadamente pela administração da INPRIMA.

2.1.2 Os fornecedores, parceiros e colaboradores autorizados a visualizar informações em um determinado nível de classificação serão autorizados a acessar informações somente naquele nível ou em nível inferior com base na necessidade de acesso. Todo acesso aos sistemas deve ser configurado para negar acesso a tudo além daquilo que um usuário específico necessite ter acesso no desempenho de sua função profissional. 

2.1.3 A Segurança da Informação aprovará a autorização de acesso com base na classificação da atividade e função do colaborador, bem como manterá um controle de acesso com base na função, definindo as diferentes áreas e projetos, bem como seus níveis mínimos de acesso.

2.1.4 Os fornecedores, parceiros e colaboradores devem informar a Administração  sobre questões de segurança da informação e vulnerabilidades aplicáveis aos sistemas da INPRIMA.

2.1.5 Toda detecção e resposta a incidentes, especialmente relacionado a sistemas da INPRIMA, deve seguir esta política. Os fornecedores, parceiros e colaboradores devem estar cientes de suas responsabilidades na detecção de incidentes de segurança para facilitar o plano e os procedimentos de resposta a incidentes. Todos os fornecedores, parceiros e colaboradores têm a responsabilidade de auxiliar nos procedimentos de resposta a incidentes dentro de sua área específica de responsabilidade. Alguns exemplos de incidentes de segurança que o colaborador pode reconhecer em suas atividades diárias incluem, sem limitação: 

(i) Violação, dano ou acesso não autorizado (ex. logins não autorizado, desaparecimento de papéis de sua mesa, cadeados quebrados, falta de arquivos de log, alerta de um guarda de segurança, evidência em vídeo de uma invasão ou de entrada física não programada ou autorizada). 

(ii) Fraude – informações imprecisas dentro de bases de dados, logs, arquivos ou registros impressos. 

(iii) Comportamento anormal do sistema (ex. reinicialização não programada do sistema, mensagens inesperadas, erros anormais em arquivos de log do sistema ou em terminais). 

(iv) Notificações sobre eventos de segurança (ex. alertas de integridade de arquivos, alarmes de detecção de intrusos, e alarmes de segurança física). 

2.1.6. Todos os fornecedores, parceiros e colaboradores, independentemente de suas responsabilidades profissionais, devem estar cientes dos identificadores de potenciais incidentes e de quem notificar nestas situações.

2.1.7 Como consequência das relações comerciais mantidas com a INPRIMA, o Colaborador poderá receber certos dados relacionados a pessoas naturais identificadas ou identificáveis (“Dados Pessoais”). Em virtude disso, o Colaborador declara e garante que os Dados Pessoais por ele recebidos serão tratados nos termos da Lei 13.709/2018 (Lei de Proteção de Dados Pessoais) e demais leis e normas que regulem o tema.

2.1.8 O Colaborador se compromete, por si, por seus prepostos e fornecedores, parceiros e colaboradores, a realizar o tratamento de Dados Pessoais recebidos por força do relacionamento comercial com a INPRIMA apenas com a finalidade de cumprimento de suas obrigações legais e contratuais, abstendo-se de utilizar tais dados, no presente ou no futuro, para qualquer outra finalidade ou em desacordo com a legislação.

2.1.9 O Colaborador se compromete ainda a informar imediatamente a INPRIMA caso receba qualquer pedido de correção, inclusão ou exclusão dos dados pessoais a que tiver acesso por força do relacionamento comercial com a INPRIMA, de modo que possam ser adotadas as medidas cabíveis.

2.1.10 Além disso, o Colaborador declara que implementa políticas organizacionais visando garantir a proteção dos dados pessoais, que são solicitadas pela INPRIMA constantemente, incluindo medidas técnicas de segurança para prevenir a violação de Dados Pessoais, responsabilizando-se pela comunicação tempestiva e eficaz dos incidentes de segurança que envolvam Dados Pessoais.

2.1.11. No mais, o Colaborador se compromete a devolver e/ou destruir os Dados Pessoais recebidos em consequência do relacionamento comercial mantido com a INPRIMA, conforme vier a ser determinado pela INPRIMA, sempre que a devolução ou destruição lhe for demandada para fins de garantir os princípios e condições estabelecidas pela legislação em vigor, sob pena de integral responsabilidade civil e criminal.

3. ADMINISTRAÇÃO

3.1. Devido ao seu relacionamento direto e constante com os fornecedores, parceiros e colaboradores, assim como sua posição de interação com os demais prestadores de serviço, a Administração da INPRIMA tem um papel importante no que se refere à segurança das informações. Os seguintes itens são responsabilidade da Administração:

(i) Auxiliar a Segurança da Informação com a disseminação das políticas de Segurança da Informação e orientação sobre o uso aceitável a todos os usuários de sistema relevantes incluindo colaboradores, prestadores de serviço e parceiros de negócio.

(ii) Realizar verificações de antecedentes de potenciais fornecedores, parceiros e colaboradores que terão acesso aos dados pessoais. Quando possível e, dentro das condições previstas pela legislação, as verificações devem incluir: histórico de empregos anteriores, verificação de antecedentes criminais, verificações de crédito e análise de referências pessoais. 

(iii) Certificar-se que novos fornecedores, parceiros e colaboradores e terceiros participem do treinamento de conscientização sobre segurança de informação após a contratação e pelo menos uma vez por ano. 

(iv) Trabalhar com a Segurança da Informação para administrar sanções e ações disciplinares referentes a violações da Política de segurança da informação. 

(v) Notificar a equipe de Infraestrutura e Tecnologia quando qualquer colaborador for desligado.

4. AUTENTICAÇÃO DE USUÁRIO 

4.1. USUÁRIOS

4.1.1. Cada usuário deve utilizar um ID de usuário único e uma senha secreta pessoal para acessar os sistemas e redes de informação da INPRIMA. 

4.2.1. É proibida a utilização de IDs de usuários não autenticados (ex. Sem senha) ou a utilização de IDs que não estejam associados a um usuário único. Os privilégios de acesso de cada usuário devem ser autorizados de acordo com a necessidade de tratamento, restritos ao mínimo de privilégios necessários para a execução de suas tarefas e concedidos com base na classificação. Todos os sistemas de acesso devem estar configurados de forma a negar qualquer acesso não autenticado (deny-all). 

4.2. SISTEMAS

4.2.1. Todo sistema informatizado deverá ter um processo de controle de acesso automático ou procedural para autenticar todos os usuários do sistema informático.

4.2.2. Usuários inativos poderão desativados ou removidos a cada período de expiração de senha. 

4.2.3. O usuário e a senha dos usuários com acesso ao ambiente não devem ser 

compartilhados. 

4.2.4. O compartilhamento de senha implica em desativação do usuário em questão. 

4.2.5. O usuário deverá desligar estação de trabalho e console dos servidores quando não estiverem sendo utilizados. Ademais, os equipamentos deverão ser posicionados de forma que o ângulo de visão seja restrito. 

4.2.6. É proibido o uso de software não autorizado, bem como utilizar software com licença para “uso não comercial”. 

5. RESPONSABILIDADE GERAL

5.2. GERENCIAMENTO DE CONTAS

5.1.1. A INPRIMA pode disponibilizar nos seus sistemas acesso a informações, incluindo dados pessoais e dados pessoais sensíveis. O acesso a esses conteúdos, multimídia ou não, será realizado de forma que o colaborador acompanhe as informações que estejam armazenadas na Instituição. 

5.1.2. O cadastro para o uso dos sistemas será realizado no primeiro acesso do usuário e, será permitido um único cadastramento por usuário, devendo o acesso, a visualização e o uso dos sistemas serem feitos pelo usuário em caráter pessoal e intransferível. 

5.1.3. No caso de usuários menores de 18 anos ou de outras pessoas que necessitem de representação na forma da lei, o cadastramento deverá ser realizado com a assistência dos pais ou dos representantes legais. 

5.1.4. Toda e qualquer ação executada ou conteúdo publicado pelo usuário durante o uso dos sistemas será de sua exclusiva e integral responsabilidade, devendo isentar e indenizar a INPRIMA de quaisquer reclamações, prejuízos, perdas e danos causados a INPRIMA em decorrência de tais ações ou manifestações. 

5.1.5. A INPRIMA se reserva o direito de incluir, excluir ou alterar os conteúdos e funcionalidades do seu portal corporativo e dos seus sistemas, bem como suspendê-los temporariamente ou cancelá-los, a qualquer momento, independentemente de aviso prévio ao usuário. Da mesma forma, poderá modificar o presente “Termos de Uso e Política de Privacidade”, cuja versão mais recente estará sempre disponível para consulta através do próprio sistema. 

5.1.6 A INPRIMA não se responsabiliza por qualquer dano, prejuízo ou perda no equipamento do usuário causado por falhas nos sistemas. A INPRIMA também não será responsável por qualquer sistema malicioso (vírus) que possa atacar o equipamento do usuário em decorrência do acesso, utilização ou navegação dos sistemas e na Internet; ou como consequência da transferência de dados, arquivos, imagens, textos ou áudio. O usuário não poderá atribuir a INPRIMA qualquer responsabilidade, nem exigir o pagamento por lucro cessante em virtude de prejuízos resultantes de dificuldades técnicas, falhas nos sistemas ou na Internet e perda de dados ou mídias. O usuário não poderá introduzir ou instalar qualquer tipo de programa de computador ou equipamento no ambiente de tecnologia da INPRIMA sem prévia autorização.

5.1.7. Os conteúdos multimídia compartilhados nas redes sociais não terão o controle de privacidade da INPRIMA. Ou seja, esses conteúdos multimídia não estarão sob vigência do presente “Termo de Uso e Política de Privacidade”, passando a estar sob a vigência dos Termos de Uso e Política de Privacidade das respectivas redes sociais. 

5.1.8. A INPRIMA SE EXIME DE TODA E QUALQUER RESPONSABILIDADE PELOS DANOS E PREJUÍZOS DE QUALQUER NATUREZA QUE POSSAM DECORRER DO ACESSO, INTERCEPTAÇÃO, ELIMINAÇÃO, TRATAMENTO, ALTERAÇÃO, MODIFICAÇÃO OU MANIPULAÇÃO, PELO COLABORADOR OU POR TERCEIROS NÃO AUTORIZADOS, DOS DADOS PESSOAIS OU DADOS PESSOAIS SENSÍVEIS DURANTE A UTILIZAÇÃO DO PORTAL E DOS SISTEMAS DA INPRIMA. 

5.1.9. As informações solicitadas ao usuário no momento do cadastro serão utilizadas pela INPRIMA somente para os fins previstos no presente “Termos de Uso e Política de Privacidade” e em nenhuma circunstância, tais informações serão cedidas ou compartilhadas com terceiros, exceto por ordem judicial, autoridade competente ou requisito regulatório. Todas as informações, dados pessoais e dados pessoais sensíveis, independentemente do local de armazenamento, serão retidas enquanto perdurarem as exigências legais, reguladoras e comerciais.

5.110. Todo dado pessoal, sensível ou não, que não for mais necessária por exigência legal, reguladora ou comercial poderá ser removida dos sistemas através de um método aprovado pelo departamento de segurança da INPRIMA. Esta especificação inclui todos os dados armazenados nos sistemas, arquivos temporários ou contidos em mídia de armazenamento. 

5.1.11. A INPRIMA poderá monitorar e arquivar todas as transações do colaborador, sem qualquer tipo de restrição. Para mais informações, contate a administração.

5.1.12 As informações serão mantidas pelo tempo necessário para fornecer o serviço solicitado pelo Usuário, ou declarado pelos propósitos descritos neste documento, e o Usuário sempre pode solicitar que o fornecedor do sistema suspenda ou remova os dados, resguardado o arquivamento de ofício e obrigatório em razão de requisitos regulatórios.

5.1.13 Mais detalhes sobre a coleta ou processamento de Dados Pessoais podem ser solicitados à administração a qualquer momento. 

5.1.14 A INPRIMA se reserva o direito de fazer alterações a esta política de privacidade a qualquer momento, dando aviso aos seus Usuários previamente.  Se um Usuário se opuser a qualquer das alterações à Política, o Usuário deverá cessar de usar os sistemas e poderá solicitar que a INPRIMA apague os seus Dados Pessoais, resguardados os requisitos regulatórios. Salvo indicação em contrário, a política de privacidade vigente aplica-se a todos os dados pessoais e dados pessoais sensíveis que tem sobre os usuários. 

5.1.15 A INPRIMA poderá colher, tratar e compartilhar dados sensíveis de seus fornecedores, parceiros e colaboradores, apenas e tão somente quando assim for exigido para o cumprimento de contrato, segurança, prestação de serviço ou demanda regulatória. Neste sentido, o titular será devidamente alertado e saberá quais dados sensíveis estão sendo coletados, tratados e compartilhados, para fins da legais.

5.1.16. É proibida a entrada (sem exceção por cargo/função) no ambiente das áreas críticas com pertences que possam ser utilizados para saída de informação (ex: papéis, bolsas, celulares etc). Obs: As exceções deverão constar em procedimento acordado com a área de segurança da INPRIMA.

5.1.17. Os documentos que contenham informação sensível ou classificada devem ser removidos de impressoras, imediatamente.

5.1.18. Ter local apropriado (especialmente quando o local estiver desocupado) para guarda de informações do negócio sensíveis ou críticas, em papel ou em mídia de armazenamento eletrônicas, quando não em uso.

5.1.19 É proibido o uso (sem exceção por cargo/função) de impressoras em salas exclusivas de atendimento dos clientes da INPRIMA.

5.1.20 A INPRIMA não compartilha informações pessoais de seus usuários com terceiros que não tenham vínculo com a INPRIMA. 

5.1.21 Ao concordar, o usuário submeter-se-á automaticamente aos termos e condições estabelecidos pelo presente “Termos de Uso e Política de Privacidade” do portal corporativo e dos sistemas da INPRIMA.

6. SANÇÕES

6.1 As sanções a quem infringir esta Política de Privacidade poderão variar de acordo com a gravidade e o impacto, conforme as seguintes penalidades, além das imputações cíveis e criminais pertinentes ao caso, além da reparação do dano quando for possível ou oportuno:

(i) Advertência;

(ii) Multa;

(iii) Suspensão;

(iv) Rescisão Contratual.