entrar
criar conta

Política de Segurança da Informação Inovapag

Última atualização: 25 de Fevereiro de 2025

  1. INTRODUÇÃO

A Política de Segurança da Informação e Segurança Cibernética (“Política”) tem como objetivo estabelecer as regras, procedimentos e controles de Segurança da Informação da INOVAPAG (“INOVAPAG”), conforme as previsões regulatórias.

A Segurança da Informação pode ser entendida como a capacidade de prevenir, detectar, responder e de se recuperar rapidamente de uma ameaça cibernética, a fim de proteger a confidencialidade, integridade e disponibilidade dos ativos tecnológicos e das informações.

Dessa forma, o objetivo desta política é descrever o uso aceitável de equipamentos de informática da INOVAPAG. Essas regras estão em vigor para proteger nossos parceiros, colaboradores e a própria empresa do uso inapropriado desses ativos, que possam expor a INOVAPAG a riscos, incluindo ataques de vírus, comprometimento de sistemas e serviços de rede, situações reputacionais e violações legais.

Por meio desta Política, buscamos manter os Princípios do Privacy by Design, preservando a funcionalidade total das operações. Isso significa que o documento não tem o objetivo de impor restrições contrárias à cultura de abertura, confiança e integridade estabelecida na INOVAPAG, mas sim adotar uma abordagem “risk oriented” contra ações ilegais ou prejudiciais por parte de indivíduos, conscientes ou não.

Ainda, esta Política visa viabilizar a identificação de possíveis violações de segurança da informação, por meio da definição de ações sistemáticas de detecção, tratamento e prevenção de incidentes, ameaças e vulnerabilidades nos ambientes físicos e digitais, a fim de mitigar os riscos de segurança da informação, garantindo, assim, a continuidade dos negócios e protegendo os processos críticos contra interrupções causadas por falhas ou desastres.

Ressalta-se que esta Política é condizente com:

  • O porte, o perfil de risco e o modelo de negócio da INOVAPAG.
     • A natureza das suas atividades e a complexidade dos serviços e produtos por ela fornecidos.
     • A sensibilidade dos dados e das informações sob responsabilidade da INOVAPAG.

 

  1. NORMAS DE REFERÊNCIA

Normas que servem de referência para a elaboração desta Política:

  • Lei Geral de Proteção de Dados (Lei n.º 13.709/2018).
     • Resolução CD/ANPD n.º 2 de janeiro de 2022.
     • Resolução CMN nº 4.893 de 2021.
     • Resolução BCB nº 85 de 2021.

 

  1. ÂMBITO DE APLICAÇÃO

A presente Política será aplicável a todos os Colaboradores, membros da Alta Administração, Terceiros e quaisquer outras pessoas, sejam físicas ou jurídicas, que tenham ou venham a ter acesso aos dados controlados e ao sistema de informação da INOVAPAG.

3.1. O não cumprimento desta Política

O não cumprimento desta Política acarretará sanções administrativas, podendo resultar no desligamento do colaborador ou na rescisão do contrato vigente, bem como na reparação de danos, de acordo com a gravidade da ocorrência.

  1. DEFINIÇÕES

Visando auxiliar na interpretação e aplicação desta Política, as palavras com iniciais maiúsculas, seja no singular ou no plural, devem ser entendidas da seguinte forma:

  • Alta Administração: refere-se aos membros que compõem a diretoria executiva e o conselho da administração, caso estes estejam implementados.
     • ANPD: refere-se à Autoridade Nacional de Proteção de Dados.
     • Cliente(s): refere-se aos usuários que adquirem ou utilizam de alguma forma os serviços da INOVAPAG.
     • Colaborador(es): refere-se aos empregados contratados sob o regime da CLT, estagiários e jovens aprendizes.
     • Controlador(es): refere-se às empresas que contratam o sistema da INOVAPAG.
     • Incidente de segurança com dados pessoais: conforme definição da ANPD, é qualquer evento adverso, confirmado ou sob suspeita, relacionado à violação da segurança de dados pessoais, como acesso não autorizado, acidental ou ilícito que resulte na destruição, perda, alteração, vazamento ou qualquer forma de tratamento inadequado ou ilícito de dados que possam ocasionar risco para os direitos e liberdades do titular.
     • Terceiro(s): refere-se aos prestadores de serviços, parceiros comerciais e demais pessoas jurídicas ou físicas que se relacionem comercialmente com a INOVAPAG.

 

  1. GOVERNANÇA EM PROTEÇÃO DE DADOS

A Governança tem o objetivo de organizar e implementar políticas, procedimentos, estruturas e uma cultura de proteção de dados na empresa, bem como definir papéis e responsabilidades de cada agente de tratamento para atender às necessidades atuais e futuras relacionadas à proteção de dados.

A INOVAPAG, por intermédio de sua Governança em Privacidade, adotou uma estrutura operacional híbrida, indicada nos itens a seguir.

5.1. Responsáveis pelo programa de privacidade

A gestão e a aplicação do programa de privacidade e proteção de dados pessoais deverão ser conduzidas, gerenciadas e controladas pelo Responsável de Privacidade, para facilitar o controle de conteúdo, datas de publicação, prazos para revisão e demais medidas e procedimentos envolvendo as Políticas.

5.2. Grupo de Trabalho

Os principais objetivos do Grupo de Trabalho são gerenciar e garantir a aplicação do programa de privacidade e proteção de dados pessoais, reunindo-se trimestralmente ou sempre que necessário para apresentação e acompanhamento do programa.

O Grupo de Trabalho será composto por integrantes de áreas-chave da empresa, capazes de deliberar e decidir sobre assuntos relacionados à privacidade e proteção de dados, conforme segue:

  • Responsável de Privacidade;
     • Jurídico Externo
     • Líderes de cada time macro (RH, Financeiro, Comercial, Marketing, etc.);
     • Departamento de Tecnologia da Informação.

O Grupo de Trabalho poderá deliberar e tomar decisões de forma autônoma a respeito de atividades de tratamento com riscos avaliados como baixo ou médio. Para riscos avaliados como alto ou muito alto, a decisão deverá ser escalada ao diretor responsável da INOVAPAG.

  1. DIRETRIZES GERAIS DE RESPONSABILIDADE E CONFORMIDADE

Esta Política tem o intuito de assegurar a proteção dos ativos de informação contra ameaças, internas ou externas, reduzir a exposição a perdas ou danos decorrentes de falhas de segurança da informação e garantir que os recursos adequados estejam disponíveis, mantendo um programa de segurança efetivo e conscientizando Colaboradores e Terceiros sobre o tema.

Os processos de segurança de dados e da informação da INOVAPAG devem assegurar:

  • Confidencialidade: garantir que a informação seja acessível somente por pessoas autorizadas.
     • Integridade: garantir que a informação, seja armazenada ou em trânsito, não sofra modificações não autorizadas, intencionais ou não.
     • Disponibilidade: garantir que a informação esteja disponível sempre que necessário.
     • Autenticidade: assegurar a origem segura da informação.
     • Não repúdio: monitorar o uso, evitando a negativa de autoria.

Além disso, a INOVAPAG assegura que:

  • Todos os dados pessoais coletados serão tratados conforme a Lei Geral de Proteção de Dados Pessoais (Lei n.º 13.709/2018), sendo utilizados somente para as finalidades para as quais foram coletados;
     • A gestão de seus sistemas e ambientes virtuais se baseará em análises de riscos revisadas periodicamente;
     • A definição e implementação de controles terão como parâmetro normas nacionais e internacionalmente reconhecidas na área de segurança da informação;
     • Com base nas avaliações de riscos e no perfil da organização, serão elaborados cenários de incidentes considerados nos testes de continuidade dos serviços;
     • Os dados e as informações serão classificados quanto à sua relevância;
     • A equipe será divulgada e capacitada para disseminar a cultura de segurança da informação.

6.1. Diretrizes Gerais de Responsabilização e Conformidade

A INOVAPAG poderá realizar auditorias e monitoramento em suas redes, dispositivos e sistemas periodicamente para garantir a conformidade com esta Política.

6.1.1. Novos Dispositivos

Para que novos dispositivos sejam incluídos na rede e no sistema, é necessária a aprovação explícita pelo gestor competente.

6.1.2. Autenticação

Todo uso de tecnologia ou dispositivos deve ser autenticado com ID de usuário e senha ou outro item de autenticação (por exemplo, token), conforme a Política de Senha Segura.

6.1.3. Rastreamento
Todas as tecnologias ou dispositivos devem contar com uma lista de todo o pessoal autorizado a usá-los, conforme o princípio do “need to know”.

6.1.4. Marcação
Todos os dispositivos devem ser rotulados com o nome do proprietário, informações de contato e finalidade.

6.1.5. Classificação e Acesso à Informação
As informações devem ser classificadas e acessadas de acordo com esta Política.

6.1.6. Laptops
Devido à vulnerabilidade das informações contidas em notebooks, seu uso deve seguir as diretrizes deste documento.

6.1.7. Software antivírus
O uso de software de proteção contra vírus deve estar em conformidade com este instrumento.

6.1.8. E-mail
A comunicação via e-mail deve estar em conformidade com este instrumento.

6.1.9. Usos Proibidos
Os ativos, sistemas e bens da INOVAPAG não poderão ser utilizados para atividades ilícitas ou que contrariem os objetivos, missão e cultura da empresa, bem como suas Políticas internas. A seguir, exemplificam-se algumas condutas terminantemente proibidas:

  6.1.9.1. Distribuir ou acessar informações confidenciais sem a devida autorização.
  6.1.9.2. Violar direitos autorais, segredo comercial, patente ou outra propriedade intelectual, incluindo a instalação ou distribuição de software pirateado ou não licenciado para uso pela INOVAPAG.
  6.1.9.3. Utilizar cópia não autorizada de material protegido por direitos autorais, como digitalização e distribuição de fotografias, livros ou músicas, sem licença.
  6.1.9.4. Exportar software, informações técnicas ou tecnologia de criptografia sem a devida autorização, em desacordo com as leis internacionais ou regionais de controle de exportação.
  6.1.9.5. Introduzir programas maliciosos na rede ou servidores da INOVAPAG ou de terceiros (vírus, worms, cavalos de Tróia, bombas de e-mail, etc.).
  6.1.9.6. Revelar senhas de acesso para outras pessoas ou permitir que terceiros utilizem suas credenciais, inclusive familiares, quando trabalhando remotamente.
  6.1.9.7. Utilizar ativos da INOVAPAG para adquirir ou transmitir material que viole as leis de assédio sexual ou crie ambientes de trabalho hostis.
  6.1.9.8. Fazer ofertas fraudulentas de produtos ou serviços provenientes de qualquer conta da INOVAPAG.
  6.1.9.9. Cometer violações de segurança ou causar interrupções na comunicação de rede, como acessar dados sem autorização ou fazer login em servidores sem permissão.
  6.1.9.10. Realizar varreduras de portas ou de segurança sem notificação prévia ao gestor responsável.
  6.1.9.11. Executar monitoramento de rede que intercepte dados, salvo se parte das funções normais do cargo.
  6.1.9.12. Contornar a autenticação do usuário ou a segurança de qualquer host, rede ou conta.
  6.1.9.13. Utilizar scripts ou comandos com intenção de interferir ou desabilitar sessões de usuários.
  6.1.9.14. Revelar informações ou listas de funcionários da INOVAPAG para terceiros.
  6.1.9.15. Enviar e-mails não solicitados (spam) ou material publicitário sem autorização.
  6.1.9.16. Enviar números de cartão de crédito (PANs) não criptografados por e-mail ou mensagens.
  6.1.9.17. Praticar qualquer forma de assédio via qualquer canal de comunicação.
  6.1.9.18. Utilizar ou falsificar informações de cabeçalho de e-mail.
  6.1.9.19. Criar ou encaminhar esquemas de pirâmide ou “correntes”.
  6.1.9.20. Publicar mensagens irrelevantes em múltiplos grupos de notícias (spam).
  6.1.9.21. Não adotar os cuidados necessários para acessar redes públicas de internet.

6.1.10. Wireless
 A INOVAPAG, quando possível, oferece uma rede sem fio (Wi-Fi) própria para fins estritamente profissionais. Para ter acesso ao Wi-Fi, o usuário deve ser expressamente autorizado pela INOVAPAG e comprometer-se a utilizá-la de forma segura. Visitantes, fornecedores e afins poderão ter acesso à rede mediante autorização expressa.

  1. PROCEDIMENTOS E CONTROLES

7.1. Política de Classificação de Dados
 As informações, dados e documentos operados pela INOVAPAG serão classificados conforme as seguintes categorias, considerando a sensibilidade e relevância para a INOVAPAG e seus Clientes:

  - Nível 01 – Documentos Públicos: informações aprovadas para uso público (interno e externo), como relatórios anuais e comunicados à imprensa.
  - Nível 02 – Somente Uso Interno: informações não aprovadas para circulação fora da INOVAPAG, como memorandos internos, atas de reuniões e procedimentos operacionais.
  - Nível 03 – Confidencial: informações cuja circulação interna é controlada por questões estratégicas e de gestão, cuja divulgação externa pode causar impacto e prejuízos, como planos estratégicos, informações contábeis e dados de clientes, inclusive dados pessoais.
  - Nível 04 – Informações Sensíveis: informações críticas, como dados pessoais sensíveis, sigilo bancário ou informações cuja perda pode comprometer a prestação de serviços pela INOVAPAG.

7.1.1. Política de Restrição de Acessos
 O acesso às informações será concedido somente àqueles que realmente precisem delas para desempenhar suas atividades, conforme:

  - Nível 01: Livre acesso.
  - Nível 02: Funcionários e não funcionários da INOVAPAG com acordos de confidencialidade assinados e necessidade comercial de saber.
  - Nível 03: Somente indivíduos designados com acesso aprovado e com acordos de confidencialidade assinados.
  - Nível 04: Somente indivíduos designados com acesso aprovado e com acordos de confidencialidade assinados, preferencialmente gestores.

Caso haja troca de cargo, as credenciais devem ser revistas e aquelas não necessárias devem ser revogadas.

7.2. Política de Utilização de Informações Físicas
 Medidas para garantir a segurança das informações físicas incluem:

  - Controle de acesso físico com chaves, cartões ou biometria.
  - Trancamento adequado de armários, salas e áreas de armazenamento quando não estiverem em uso.
  - Procedimentos para destruição segura de documentos sensíveis.
  - Armazenamento de cópias físicas de documentos importantes em locais seguros (cofres, salas à prova de fogo).
  - Auditorias periódicas para verificar o cumprimento das políticas de segurança.
  - Treinamento dos funcionários sobre a importância da segurança física.
  - Proteção das instalações contra incêndios, inundações e desastres naturais.

7.3. Política de Sistemas Antivírus
 Para prevenir acessos indevidos e incidentes, todos os ativos devem ser utilizados somente se os sistemas antivírus estiverem corretamente instalados e programados para execução regular (diariamente). Regras:

  - Manter o software antivírus e os arquivos de definição de vírus atualizados.
  - Conservar logs de atividade do antivírus por, no mínimo, 1 (um) ano.
  - Remover computadores infectados da rede até que sejam verificados como livres de vírus.
  - Administradores devem criar procedimentos para garantir a execução regular do antivírus e verificação dos computadores.
  - É proibida qualquer atividade que vise criar ou distribuir programas maliciosos na rede da INOVAPAG.
  - Dispositivos móveis conectados à rede da INOVAPAG exigem um software de firewall pessoal instalado e configurado corretamente.
  - O administrador deve configurar o firewall pessoal para que não seja alterado por usuários.

7.4. Política de Auditoria
 A INOVAPAG reserva-se o direito de auditar qualquer dispositivo utilizado por indivíduos sujeitos a esta Política, solicitando acessos que podem incluir:

  - Nível de usuário e/ou acesso em nível de sistema a qualquer dispositivo de computação ou comunicação.
  - Acesso a informações eletrônicas e impressas armazenadas em equipamentos ou instalações da INOVAPAG.
  - Acesso às áreas de trabalho (escritórios, cubículos, data centers, etc.).
  - Monitoramento interativo do tráfego nas redes da INOVAPAG.

Esta auditoria observará as regras da Lei Geral de Proteção de Dados e as diretrizes comunicadas internamente.

7.5. Política de Dispositivos Desktop e Laptop
 Medidas para segurança de dispositivos locais:

  - Usuários de desktops e laptops assumirão responsabilidade compartilhada pela segurança de seus sistemas.
  - Ao receber um desktop ou laptop, o usuário deve preencher um formulário e comprometer-se a cumprir esta Política.
  - Dispositivos são entregues pela INOVAPAG, e o usuário assume a tutela temporária do sistema.
  - Ao deixar a empresa, o dispositivo deve ser devolvido ao gerente ou supervisor, liberando o usuário de responsabilidades futuras.
  - Medidas devem ser tomadas para evitar a instalação de software não licenciado ou malicioso.
  - O uso de software pirata é proibido.
  - Softwares instalados devem ser validados e aprovados pelo Gestor Responsável.
  - O usuário deve proteger o acesso com senha e não permitir acessos de convidados.
  - O PC deve ser configurado para bloqueio automático após 15 minutos de inatividade.
  - Permitir a execução diária do antivírus e atualizações regulares do sistema operacional e aplicativos.
  - Não instalar ou abrir arquivos de fontes desconhecidas.
  - Desativar o ‘autorun’ para mídias conectadas.
  - Não abrir arquivos executáveis recebidos por e-mail ou navegador.
  - Notificar riscos de infecção ao Gestor Responsável.

Adicionalmente, usuários de laptops devem:

  - Não deixar laptops visíveis em veículos sem vigilância ou durante a noite.
  - Posicionar laptops de forma que não sejam visíveis de janelas em áreas de acesso público.
  - Não deixar laptops sem vigilância em áreas públicas.
  - Transportar laptops como bagagem de mão, preferencialmente em malas de cores vivas ou com etiquetas grandes.
  - Utilizar criptografia corporativa para dados em arquivos e pastas (ex.: Microsoft EFS ou PGPDisk).
  - Notificar imediatamente as autoridades em caso de perda ou roubo.

7.6. Política de Email
 Para prevenir incidentes de segurança via e-mail, a INOVAPAG adotou as seguintes regras:

  - O usuário deve ter cautela ao enviar e-mails em nome da INOVAPAG, evitando o envio para múltiplos destinatários sem necessidade e verificando destinatários e conteúdo antes de enviar.
  - E-mails enviados para fontes externas conterão uma isenção padrão de responsabilidade:

   AVISO: Esta mensagem, incluindo todos os anexos, é para uso exclusivo do destinatário e pode conter informações proprietárias e confidenciais da INOVAPAG. Se você não for o destinatário pretendido, não deverá usá-la, divulgá-la, distribuí-la, imprimi-la ou copiá-la. Caso a receba por engano, exclua-a e notifique o remetente imediatamente.

  - Colaboradores devem ter cuidado ao abrir e-mails de fontes externas, mesmo com proteção antivírus.
  - E-mails internos da INOVAPAG não devem ser encaminhados para destinos externos sem aprovação do Gestor, especialmente se contiverem informações confidenciais, a menos que estejam criptografados.
  - Os responsáveis pela segurança poderão monitorar todos os e-mails de entrada, saída e internos.

Conforme sugestões da ANPD, a INOVAPAG e seus colaboradores deverão:

  - Utilizar autenticação multifator para acesso a dispositivos móveis e laptops.
  - Separar dispositivos de uso privado daqueles de uso institucional.
  - Implementar funcionalidades para apagar remotamente dados pessoais em dispositivos móveis.

7.7. Política de Criptografia
 Medidas para o uso de criptografia pela INOVAPAG:

  - Utilizar algoritmos padrão comprovados, como AES, como base para a criptografia.
  - Esses algoritmos devem ser os usados em aplicativos aprovados (ex.: PGP para criptografia combinada ou SSL usando RSA).
  - Comprimentos de chave para criptografia simétrica devem ser de pelo menos 128 bits.
  - As chaves de criptografia assimétrica devem ter comprimento equivalente.
  - Os requisitos de chave serão revisados anualmente e atualizados conforme a tecnologia permitir.
  - O uso de algoritmos proprietários de criptografia não é permitido, a menos que revisado e aprovado por especialistas qualificados.

7.8. Prevenção a Incidentes de Segurança ocasionados por Colaboradores ou Terceiros

7.8.1. Concessão de Acesso aos Sistemas e Monitoramento
 A Diretoria exigirá a assinatura de Termo de Confidencialidade com Colaboradores e Terceiros envolvidos nas operações da INOVAPAG e indicará os gestores responsáveis por conceder, limitar e suprimir o acesso aos sistemas e ambientes virtuais. A INOVAPAG implementará mecanismos de cadastro, autenticação e rastreamento (logs) das ações realizadas por esses usuários.

 Os ambientes de trabalho que abrigam dispositivos eletrônicos que permitem acesso aos sistemas da INOVAPAG serão monitorados por câmeras 24 horas por dia, 7 dias por semana.

 Colaboradores que precisem acessar dados pessoais confidenciais serão, preferencialmente, alocados em áreas restritas para minimizar o risco de divulgação indevida.

 A INOVAPAG manterá um canal de denúncia anônimo para que Colaboradores possam relatar condutas suspeitas, realizando auditorias internas periódicas para avaliar os logs de acesso.

7.8.2. Uso de Equipamentos Corporativos, Responsabilidade com Dados de Acesso e Restrições de Acesso
 A INOVAPAG fornecerá os equipamentos necessários (laptops, pen-drives, tablets, celulares, etc.) para a execução das atividades e poderá realizar varreduras e investigações internas nesses dispositivos. Além disso, a INOVAPAG implementará um sistema de controle de acesso com níveis de permissão proporcionais à necessidade de acesso aos dados pessoais, conforme esta Política.

 Colaboradores são responsáveis por todas as ações realizadas com seus identificadores (logins) e senhas, não podendo ceder ou facilitar o uso de suas credenciais, devendo bloquear seus dispositivos ao se ausentar, conforme detalhado na Política de Segurança da Informação.

7.9. Prevenção à Indisponibilidade do Sistema e Ambientes Virtuais da INOVAPAG
 A INOVAPAG conta com uma equipe interna dedicada à implementação de melhorias e monitoramento da integridade dos sistemas. Para reduzir a indisponibilidade, adota medidas como:

  - Redundância de links de internet e servidores;
  - Balanceamento de carga (load balance);
  - Assistência externa com o provedor de internet, com SLA máximo de 4 horas para solução em caso de interrupção.

7.9.1. Manutenção e Cópias de Segurança
 A INOVAPAG realizará backups e procedimentos de recuperação de dados, inclusive para informações processadas e armazenadas por prestadores de serviços, adotando medidas administrativas para garantir a integridade e inviolabilidade dos dados.

7.9.2. Informações e Proteção aos Clientes
 A INOVAPAG disponibilizará os Termos de Uso e a Política de Privacidade em seu sistema, informando também as empresas terceiras que terão acesso aos dados pessoais para prestação de serviços.

7.10. Segurança das Comunicações
 Para assegurar a segurança das comunicações, a INOVAPAG deverá:

  - Utilizar conexões cifradas (TLS/HTTPS) ou aplicativos com criptografia ponta a ponta;
  - Instalar e manter sistemas de firewall e/ou Web Application Firewall (WAF);
  - Proteger e-mails com ferramentas AntiSpam, filtros e integração com antivírus;
  - Remover dados sensíveis desnecessariamente expostos em redes públicas.

7.11. Da Contratação de Serviços de Processamento, Armazenamento de Dados e Computação em Nuvem
 A INOVAPAG realizará due diligence para contratar terceiros prestadores de serviços de processamento, armazenamento e computação em nuvem, considerando:
  i) A criticidade do serviço;
  ii) A sensibilidade dos dados a serem processados e armazenados, conforme a classificação prevista nesta Política.

 A INOVAPAG poderá adotar práticas como certificações (ex.: PCI DSS, ISO 27001), pesquisas prévias, formulários e visitas técnicas, auditorias externas, contratação de seguro contra vazamento de dados, acordos de nível de serviço, autenticação multifator, entre outras, e, no término do contrato, o prestador deverá transferir e excluir os dados conforme estabelecido.

7.12. Política de Senha Segura
 As senhas utilizadas em atividades relacionadas à INOVAPAG devem obedecer às seguintes regras:

  - Não compartilhar senhas com outros usuários.
  - Alterar senhas de nível de sistema (ex.: root, admin) a cada 90 dias.
  - Incluir todas as senhas de nível de sistema de produção em um banco de dados global.
  - Alterar senhas de nível de usuário (ex.: e-mail, web) a cada 90 dias.
  - Contas com privilégios devem ter senhas exclusivas e diferentes das demais.
  - Senhas não devem ser enviadas por e-mail, anotadas ou deixadas visíveis.
  - Não reutilizar senhas em diferentes níveis de administração.
  - Utilizar software de quebra de senha trimestralmente para identificar senhas fracas.
  - Revogar senhas de backoffice inativas após 90 dias.
  - O acesso ao servidor de banco de dados é restrito ao Administrador.
  - As senhas devem ter, no mínimo, 8 caracteres, combinando letras maiúsculas, minúsculas, números e caracteres especiais.
  - Uma nova senha para o backoffice deve ser escolhida a cada 90 dias, sem repetir as últimas quatro senhas.
  - Se desenvolvedores, funcionários ou clientes acessarem ambientes de produção e teste, as credenciais devem ser diferentes.

7.13. Políticas de Análises de Riscos
 A execução, desenvolvimento e implementação de análises de riscos são de responsabilidade do Diretor de Tecnologia da Informação. Espera-se a cooperação total dos funcionários na condução dessas análises e no desenvolvimento de um plano de gestão e remediação de riscos. Avaliações preliminares serão realizadas em casos de:

  - Grandes pedidos de alteração;
  - Grandes mudanças em sistemas ou redes que transportem informações confidenciais;
  - Novas interfaces para processadores ou integradores de sistemas.

7.13.1. Processo de Avaliação de Risco
 As análises de risco devem incluir:

  - Atribuição de um nível de risco;
  - Valores para probabilidade e impacto do evento negativo, conforme matriz aprovada;
  - Determinação do nível atual de segurança;
  - Verificação do risco inerente;
  - Estabelecimento de medidas complementares e gestão do risco.

Os níveis de risco utilizados serão: mínimo, baixo, moderado, alto e máximo.

7.14. Política de Desenvolvimento Seguro de Software
 Caso seja realizado desenvolvimento próprio, mesmo com mão de obra terceirizada, a INOVAPAG deverá estabelecer uma Política de Desenvolvimento Seguro de Software.

  1. Política de Retenção de Dados
     A INOVAPAG deverá manter uma Política de Retenção de Dados, em conformidade com as normas aplicáveis, especialmente as relacionadas a dados pessoais.
  2. Plano de Respostas a Incidentes
     A INOVAPAG deve elaborar cenários de incidentes, no âmbito dos testes de continuidade dos negócios, visando mapear eventos que possam dificultar a operação dos sistemas ou processos organizacionais e impossibilitar a plena operação dos serviços. Além disso, deverá manter uma Política de Resposta a Incidentes de Segurança difundida na empresa.

Em caso de incidentes, como interceptações, compartilhamentos ou vazamentos de informações, o Colaborador ou Terceiro deverá informar o Departamento de Tecnologia da INOVAPAG ou o Encarregado de Dados, em até 2 (duas) horas, para que as medidas de segurança sejam tomadas.

  1. Capacitação de Colaboradores e Terceiros
     A equipe da INOVAPAG manterá comunicação ativa e periódica sobre os termos desta Política, capacitando Colaboradores e Terceiros que prestem serviços relevantes. Os treinamentos abordarão temas como proteção de dados pessoais, segurança da informação e políticas de consequências, além de orientar sobre:

  - Uso de controles de segurança nos sistemas de TI;
  - Prevenção a incidentes de segurança;
  - Armazenamento seguro de documentos físicos;
  - Não compartilhamento de logins e senhas;
  - Bloqueio de computadores ao se afastar;
  - Seguir as orientações da política de segurança da informação.

  1. Vigência
     A presente Política foi aprovada pelo Time de Compliance e entra em vigor em 02/09/2024, sendo revisada, no máximo, anualmente ou conforme necessário para mantê-la atualizada.

Em caso de dúvidas acerca desta Política, entre em contato pelo e-mail lgpd@inovapag.com.br