Política de Privacidade

1. INTRODUÇÃO

 A BALBOA IMPORTADORA LTDA., pessoa jurídica de direito privado,], reconhece que as informações corporativas constituem ativos intangíveis de valor estratégico para a continuidade e o desenvolvimento de suas atividades empresariais.

Nos termos do disposto na Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais – LGPD), bem como demais normas aplicáveis à segurança da informação, confidencialidade e governança corporativa, a presente Política tem como finalidade estabelecer as diretrizes que regem a coleta, o uso, o tratamento, a guarda e a proteção de dados e informações institucionais, operacionais, financeiras, comerciais, técnicas e de qualquer outra natureza que estejam sob sua responsabilidade ou em sua posse.

Todas as disposições aqui estabelecidas se aplicam integralmente à BALBOA IMPORTADORA LTDA., enquanto pessoa jurídica, e vinculam seus administradores, colaboradores, prestadores de serviços, parceiros comerciais e quaisquer terceiros que, por qualquer meio, tenham acesso a tais informações.

2. OBJETIVO DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

A presente Política tem por finalidade estabelecer os princípios, conceitos e diretrizes relativos à Segurança da Informação, com fundamento na Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais – LGPD), na Lei nº 12.965/2014 (Marco Civil da Internet), bem como nas boas práticas previstas pelas normas ABNT NBR ISO/IEC 27001 e 27002.

Visa-se, por meio desta, assegurar a confidencialidade, integridade e disponibilidade das informações sob responsabilidade da BALBOA IMPORTADORA LTDA., protegendo-as contra acessos não autorizados, vazamentos, alterações indevidas, destruição acidental ou proposital, e quaisquer outras formas de tratamento inadequado ou ilícito.

Além disso, esta Política está alinhada aos objetivos estratégicos da organização, contribuindo para a mitigação de riscos operacionais, a conformidade regulatória e a preservação da imagem, reputação e sustentabilidade do negócio.

3. ÂMBITO DE APLICAÇÃO

Esta Política de Segurança da Informação aplica-se integralmente a todos os colaboradores, estagiários, fornecedores, prestadores de serviço, consultores, visitantes e quaisquer terceiros, incluindo as gerências de área e a Alta Direção da BALBOA IMPORTADORA LTDA., nos termos da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais – LGPD), da Lei nº 12.965/2014 (Marco Civil da Internet), bem como das normas de boas práticas em segurança da informação, como a ABNT NBR ISO/IEC 27001.

Estão sujeitos às disposições constantes neste documento todos os indivíduos ou entidades que tenham tido, possuam ou venham a possuir, a qualquer tempo e sob qualquer forma, acesso a dados, sistemas, ambientes tecnológicos ou ativos de informação pertencentes à organização, independentemente de sua localização geográfica ou vínculo jurídico-formal.

O descumprimento das diretrizes estabelecidas nesta Política poderá implicar em responsabilidade civil, administrativa e/ou penal, nos termos da legislação vigente, sem prejuízo das sanções disciplinares previstas nos contratos, regulamentos internos e normas da organização.

4. PRINCÍPIOS DA SEGURANÇA DA INFORMAÇÃO

ANos termos das diretrizes estabelecidas pelas normas ABNT NBR ISO/IEC 27001 e 27002, bem como em conformidade com a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais – LGPD), a Segurança da Informação no âmbito da BALBOA IMPORTADORA LTDA. está fundamentada na preservação dos seguintes pilares essenciais:

Confidencialidade: Assegura que os dados e informações da organização sejam acessados exclusivamente por pessoas devidamente autorizadas, no escopo e tempo estritamente necessários ao desempenho de suas funções, prevenindo acessos não autorizados, vazamentos ou uso indevido.

Integridade: Garante que os dados e informações se mantenham íntegros, autênticos, precisos e completos ao longo de todo o seu ciclo de vida, protegendo-os contra modificações indevidas, acidentais ou maliciosas.

Disponibilidade: Assegura que os dados e informações estejam prontamente acessíveis e utilizáveis por pessoas autorizadas, sempre que necessário para o cumprimento das atividades organizacionais, inclusive em situações de contingência ou recuperação de desastres.

A observância desses princípios é obrigatória a todos os agentes mencionados nesta Política, sendo seu descumprimento passível de sanções legais e contratuais, nos termos da legislação vigente e dos normativos internos da organização.

5. ESTRUTURA NORMATIVA

A estrutura normativa da Segurança da Informação da organização é composta pelos documentos relacionados a seguir:

 Política: define a estrutura, diretrizes e os papéis referentes à Segurança da Informação.

• Normas e Padrões: Estabelecem regras, definidas de acordo com as diretrizes da Política, a serem seguidas em diversas situações em que a Informação é tratada.

• Procedimentos e Orientações: Instrumentam as regras dispostas nas Normas, permitindo a direta aplicação nas atividades da organização.

5.1. Compliance com tratamento de dados pessoais

Todos os documentos desta estrutura, que necessitem consentimento para o tratamento de dados pessoais (definidos na Lei n. 13.709/2018 - LGPD), deverão incluir cláusula separada, em caráter inequívoco, que especifique dito tratamento e que especifique o consentimento explícito do titular dos dados, de forma a dar cumprimento (compliance) com a correspondente Lei Geral de Proteção de Dados.

Sendo necessário o cumprimento com a GDPR (General Data Protection Regulamentation), a mesma deve ser também especificada, tendo cláusula específica.

5.1.1. Vigência LGPD

Imediata, desde a data de publicação desta Política de Segurança da Informação.

5.1.2. Vigência GDPR

Imediata, desde a data de publicação desta Política de Segurança da Informação.

6. DA PROPRIEDADE E USO DOS ATIVOS DE INFORMAÇÃO E AMBIENTES TECNOLÓGICOS

A seguir, são apresentadas as Diretrizes da Política de Segurança da Informação da organização. Estas Diretrizes devem ser a base fundamental para a elaboração de todas as Normas e Procedimentos.

6.1. Aspectos Gerais

•Nos termos das normas ABNT NBR ISO/IEC 27001, bem como da legislação vigente aplicável, em especial a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais – LGPD), a BALBOA IMPORTADORA LTDA. estabelece as seguintes diretrizes quanto à titularidade e ao uso dos ativos de informação e dos recursos tecnológicos:

Todos os ativos de informação, sistemas, equipamentos, redes e demais recursos tecnológicos, sejam físicos ou lógicos, colocados à disposição dos usuários no exercício de suas funções, são de propriedade exclusiva da organização, não podendo, em nenhuma hipótese, serem considerados como de uso pessoal ou particular.

Excluem-se dessa titularidade os dados pessoais de colaboradores ou terceiros, conforme definidos e protegidos pela LGPD, cuja coleta, tratamento e eventual monitoramento devem observar os princípios da finalidade, necessidade, transparência e segurança.

Todos os usuários — incluindo colaboradores, estagiários, prestadores de serviço e visitantes — declaram-se cientes de que o uso dos sistemas, redes e informações poderá ser objeto de auditoria e monitoramento, visando à detecção de comportamentos inadequados, violações às normas internas ou aos dispositivos legais. Os registros obtidos por tais meios poderão ser utilizados como evidência em processos administrativos, disciplinares e legais, nos termos da legislação aplicável.

Sempre que possível e aplicável, os processos operacionais e de negócio deverão ser estruturados com segregação de funções, a fim de garantir maior controle, segurança e rastreabilidade, conforme os princípios de governança corporativa e de prevenção de conflitos de interesse.

6.2. Tratamento da Informação

• Para assegurar a proteção adequada às informações, deve existir um método de classificação da informação de acordo com o grau de confidencialidade e criticidade para o negócio da organização;

• As informações devem ser atribuídas a um proprietário, formalmente designado como responsável pela autorização de acesso as informações sob sua responsabilidade;

• Dados Pessoais devem cumprir com todos os critérios da LGPD;

• Todas as informações devem estar adequadamente protegidas em observância às diretrizes de Segurança da Informação da organização em todo o seu ciclo de vida, que compreende: geração, manuseio, armazenamento, transporte e descarte;

• A informação deve ser utilizada de forma transparente e apenas para a finalidade para a qual foi coletada ou gerada.

6.3. Gestão de acessos e Identidades

• O acesso às informações e aos ambientes tecnológicos da organização deve ser controlado de acordo com a sua classificação, de forma a garantir acesso apenas às pessoas autorizadas, mediante aprovação formal;

• Os acessos aos funcionários, estagiários, visitantes e prestadores de serviço devem ser solicitados, e aprovadas somente as informações necessárias ao desempenho de suas atividades.

6.4. Gestão de Incidentes de Segurança da Informação

Em caso de violação desta Política e Normas de Segurança da Informação:

• O Comitê Gestor de Segurança da Informação (CGSI) realizará deliberações somente nos incidentes classificados com alta criticidade. Após deliberação, o CGSI recomendará ao Diretor Executivo uma ação disciplinar a ser tomada;

• Todos os demais casos serão tratados pelo fluxo normal de resposta a incidentes

6.5. Partes Externas

• Os contratos entre a organização e empresas fornecedoras e/ou prestadoras de serviços com acesso às informações, aos sistemas e/ou ao ambiente tecnológico da organização devem conter cláusulas que garantam a confidencialidade entre as partes e que assegurem minimamente que os profissionais sob sua responsabilidade cumpram a Política e as Normas de Segurança da Informação. Também devem cumprir rigorosamente com a LGPD.

7. RESPONSABILIDADES

7.1. Todos os Colaboradores, estagiários, visitantes, fornecedores e prestadores de serviço.

• Ler, Compreender, e cumprir fielmente a Política, as Normas e os Procedimentos de Segurança da informação da organização, como também, quaisquer outras leis ou normas de segurança aplicáveis;

• Encaminhar quasquer dúvidas e/ou pedidos de esclarecimento sobre a atual política, suas normas e procedimentos, a área de Gestão de Segurança de Informação da organização;

• Proteger as informações contra acessos, modificação, destruição ou divulgação não autorizados pela organização;

• Assegurar que os recursos tecnológicos, as informações e sistemas à sua disposição sejam utilizados apenas para as finalidades aprovadas pela organização;

• Cumprir as normas que regulamentam a propriedade intelectual;

• Não discutir assuntos confidenciais de trabalho em ambientes públicos ou áreas expostas (aviões, transporte, restaurantes, encontros sociais etc.) incluindo a emissão de comentários e opiniões em blogs, páginas e redes sociais;

• Não compartilhar informações confidenciais de qualquer tipo;

• Comunicar imediatamente a área de Gestão de Segurança da Informação qualquer descumprimento ou violação desta política e/ou de suas Normas e Procedimentos, ou qualquer evento que coloque ou possa colocar em risco a segurança das informações da organização.

7.2. Gestores da Informação.

• Identificar, classificar e rotular as informações sob sua responsabilidade, de acordo com as normas da organização;

• Autorizar ou revogar os acessos a informações sob sua responsabilidade, revisando periodicamente os mesmos;

• Assumir a responsabilidade por todo o ciclo de vida da informação sob sua responsabilidade.

7.3. Área de Gestão de Segurança da Informação

• Prover todas as informações de Gestão de Segurança da Informação solicitadas pelo CGSI ou pela Diretoria Executiva;

• Prover ampla divulgação da Política e das Normas de Segurança da Informação para todos os colaboradores, estagiários, visitantes e prestadores de serviços;

• Promover ações de conscientização sobre Segurança da Informação para os colaboradores, estagiários, visitantes e prestadores de serviços;

• Propor projetos e iniciativas relacionadas ao aperfeiçoamento da Segurança da Informação da organização;

• Estabelecer procedimentos relacionados à instrumentação da Segurança da Informação da organização.

7.4. Comitê Gestor de Segurança da Informação

• Atuar como enlace fundamental entre a Alta Direção da empresa e a Área de Gestão de Segurança da Informação, garantindo a fluidez da comunicação entre as mesmas;

• Reunir-se periodicamente ou extraordinariamente, analisando e tomando decisões sobre eventos e incidentes de Segurança da Informação;

• Observar as modificações políticas, estruturais e estratégicas da empresa, levando tais mudanças para que sejam refletidas na Política de Segurança da Informação.

7.5. Alta Direção da Empresa

• Prover os recursos necessários para o cumprimento da Política de Segurança de Informação;

• Assegurar que a Política de Segurança da Informação é compatível com os objetivos e estratégias corporativas;

• Demonstrar liderança e comprometimento com a Política de Segurança da Informação, incentivando a sua aplicação, e dando o suporte moral e executivo para a execução da mesma;

• Assegurar que a Política de Segurança da Informação consegue atingir seus objetivos.

8. NÃO CONFORMIDADE

8.1. Definição

A Não conformidade está definida na presente Política como a violação, omissão, tentativa não consumada, ou ausência de cumprimento com quaisquer das definições, diretrizes, normas, procedimentos ou conceitos definidos nesta Política de Segurança da Informação, voluntária ou involuntariamente, por parte de um colaborador, estagiário, visitante, fornecedor ou prestador de serviços

8.2. Determinação

Qualquer colaborador, estagiário, visitante, fornecedor ou prestador de serviços pode denunciar uma suspeita de não conformidade com a Política de Segurança da Informação.

A referida denúncia deve ser efetuada verbalmente, ou (preferentemente) por escrito, para a área de Gestão de Segurança de Informação, ou para um gestor de qualquer área da empresa, que, a sua vez, deve encaminhar a denúncia à área de Gestão de Segurança da Informação da organização.

O formato da denúncia escrita deve estar definido nas Normas e Procedimentos da Segurança da Informação.

Dispositivos e procedimentos de monitoramento e verificação de Segurança da Informação também podem indicar possíveis violações ou não cumprimentos. As formas de comunicação através destes dispositivos ou procedimentos devem estar definidas nas Normas e Procedimentos da Segurança da Informação.

A Determinação final sobre a procedência da suspeita, ou veracidade das informações relativas à Segurança a Informação cabe somente ao responsável pela Gestão de Segurança da Informação.

8.3. Ação

As regras que estabelecem o controle e o tratamento de situações de não conformidade relativas à Política de Segurança da Informação da organização devem ser tratadas conforme a Política de Gestão de Riscos Corporativos Vigente, ou conforme as leis vigentes no país, que regulamentem as punições correspondentes ao evento.

Na ocorrência de violação desta Política ou das Normas de Segurança da Informação, a Diretoria Executiva poderá adotar, com apoio das Gerências jurídicas e de Recursos Humanos, sanções administrativas e/ou legais, conforme os parágrafos a seguir:

8.3.1. Colaboradores e Estagiários

As punições serão aplicadas conforme análise do Comitê Gestor da Segurança da Informação, devendo-se considerar a gravidade da infração, efeito alcançado, recorrência, e as hipóteses previstas no artigo 482 da Consolidação das Leis do Trabalho;

8.3.2. Fornecedores, terceiros contratados ou Fornecedores de Serviço

O CGSI deverá analisar a situação, e deliberar sobre a aplicação de sanções previstas em contrato;

8.3.3. Visitantes

O CGSI deverá analisar a situação, e deliberar sobre a aplicação de sanções coerentes ao fato, respeitando as demais legislações vigentes.;

Para os casos de violações que impliquem em atividades ilegais, ou que possam incorrer em danos a organização, o infrator será responsabilizado pelos prejuízos, cabendo a aplicação das medidas judiciais pertinentes, sem prejuízo ao estipulado nos itens anteriormente descritos.

9. CASOS OMISSOS

O presente documento, e a totalidade dos responsáveis citados no mesmo, devem considerar que a tecnologia e as ameaças à Segurança da Informação se intensificam e se atualizam todos os dias.

Portanto, não se constitui rol enumerativo, sendo obrigação do usuário da organização adotar, sempre que possível, outras medidas de segurança além das aqui previstas, com o objetivo de garantir a proteção às informações da empresa.

Os eventuais casos que não estejam contemplados neste documento, ou nos documentos auxiliares que o compõem, devem ser analisados, em primeira instância, pelo Gestor de Segurança da Informação, e, caso o mesmo não tenha uma solução ou medida plausível para o evento, caberá ao Comitê Gestor de Segurança da Informação, decidir o procedimento para cada caso específico.

10. ALTERAÇÕES

Este documento poderá conter eventuais erros de tipografia, ortografia ou gramática. Em tais casos, o responsável pela elaboração e manutenção poderá elaborar novas versões deste documento, com as devidas correções, sem a necessidade de nenhuma comunicação prévia aos interessados.

Demais alterações serão aplicadas à novas versões, sendo que novos acordos, reconhecimentos ou compromissos assumidos com respeito a este documento, farão sempre referência à versão mais recente do mesmo.

11. REVISÕES

Esta política será revisada anualmente, ou a qualquer momento em que o determine o Comitê Gestor de Segurança da Informação.

 atividades, dados de clientes, fornecedores, funcionários, estagiários, visitantes ou terceiros, e qualquer tipo de dado ou informação gerada ou alterada por membros da empresa, no exercício de suas funções.