Índice
Introdução
Proteção dos stakeholders
Politica de segurança da informação
Educação e conscientização sobre segurança.
Acesso, Identificação e autenticação
Política de privacidade e proteção de dados.
Classificação e Proteção dos Dados
Retenção dos Dados
Transferência segura dos dados
Comunicação de mudanças
Gestão de riscos
Segurança no escritório
Gestão de vulnerabilidade
Resposta a incidentes
Gestão de ativos
Registro e Monitoramento de segurança
Continuidade do negócio
Conclusão
—
Introdução
O manual de responsabilidade WebSpot é um documento elaborado deste o início das adequações a LGPD Lei Geral de Proteção de Dados Pessoais, Lei n° 13.709/2018.
Este documento pode ser atualizado por processos de atualização de documentos da WebSpot, em virtude de alterações de processos ou por exigências legais.
Conforme processo de adequação a LGPD adotada pala WEBSPOT desde que a lei entrou em vigor em 2020 políticas e procedimentos foram adotados pela WEBSPOT e este arquivo tem a finalidade de documentar e facilitar o acesso a informação.
Nós da WebSpot temos o compromisso de seguir as práticas e medidas de segurança mais eficazes, garantindo que os acessos sejam controlados e os dados estejam seguros e protegidos.
Proteção dos stakeholders
Primeiramente vamos definir os stakeholders da WEBSPOT. E ao longo desse documento vamos trazer mais informações de como buscamos a proteção dos mesmo assim como de seus respectivos dados.
Usuários – Pessoas físicas que acessam o site da WEBSPOT
Fornecedores – Eventuais pessoas físicas/jurídicas que prestam serviços para WEBSPOT
Clientes – Eventuais pessoas físicas/jurídicas que clientes da WEBSPOT
Mídia – Eventuais pessoas físicas/jurídicas caracterizadas como veículos de comunicação
Parceiros – Eventuais pessoas físicas/jurídicas que possuem contrato de parceria com a WEBSPOT
Colaboradores – Colaboradores, ex-colaboradores, dependentes de colaboradores, administradores, diretores ou acionistas da WEBSPOT
Terceiros – Pessoas físicas/jurídicas que não se enquadram em nenhum dos itens acima.
Politica de segurança da informação
Na WEBSPOT, temos um programa de Segurança da Informação implementado e gerenciado por uma liderança comprometida em elevar o nível de maturidade de segurança para todo ecossistema.
Possuímos uma politica de Segurança da Informação que foi transmitida para toda a companhia através dos nossos canais internos de comunicação. A política pode ser revisada conforme nossa gestão de processos e documentações com as melhores práticas de segurança, leis de proteção de dados e outras obrigações aplicáveis ao contexto DA WEBSPOT . Nossos stakeholders podem ter acesso a partes públicas de nossas políticas através do site de nosso site.
Educação e conscientização sobre segurança.
Consideramos nossos colaboradores uma linha crítica de defesa na proteção dos dados da nossa empresa e dos nossos clientes. O envolvimento e a educação de nossos funcionários sobre as práticas recomendadas de segurança e a adoção de recursos de segurança abrange todos os setores. Nossos programas incluem integração de novos funcionários e orientações de segurança.
Também prezamos pelo treinamento e conscientização de nossos clientes quanto a proteção de seus dados. No ambiente do cliente hoje dispomos de vários mecanismos de proteção de dados e treinamos e encorajamos o uso por parte de nossos clientes destes mecanismos.
Acesso, Identificação e autenticação
Para todo e qualquer stakeholder que tive acesso a dados ou ao sistema WEBSPOT adotamos medidas rigorosas de acesso.
Os colaboradores WEBSPOT possuem seus acessos limitados por atribuição em função de suas atividades e por nível de hierarquia dentro de seu setor. A fim disponibilizar para cada colaborador apenas as informações necessárias para o exercício de suas atividades e nada mais.
Para que o colaborador acesse dados no ambiente do cliente o mesmo precisa se autenticar através de um token que é atualizado dentro de um período máximo de 24 (vinte e quatro) horas. Esse token está disponível apenas em acesso ao CRM no usuário exclusivo do colaborador.
Quando um funcionário é desligado da WEBSPOT possuímos um processo que roda de forma automática impedindo o acesso deste colaborador ao CRM e outros acessos como e-mail.
Outro stakeholder que pode ter acesso ao sistema WEBSPOT são os clientes. Que por sua vez possuem acesso apenas ao seu ambiente, não tendo permissão ou meios para acessar intranet de outros clientes. É de responsabilidade do cliente a gestão de seus colaboradores que poderão ter acesso ao sistema WEBSPOT. O mesmo pode customizar os acessos de usuários e grupo de usuários limitando funcionalidades conforme julgar ser melhor para seu negócio.
Política de privacidade e proteção de dados.
Classificação e Proteção dos Dados
Para nós da WEBSPOT os dados devem ser classificados como sensíveis ou não sensíveis. Consideramos dados sensíveis como de alto risco, por isso optamos por não solicitar nenhum dado sensível em nenhuma de nossas atividades ou sistemas.
São dados sensíveis:
- dados pessoais que revelem a origem racial ou étnica, opiniões políticas e convicções religiosas ou filosóficas;
- filiação sindical;
- dados genéticos, dados biométricos tratados simplesmente para identificar um ser humano;
- dados relacionados com a saúde;
- dados relativos à vida sexual ou orientação sexual da pessoa.
São dados não sensíveis:
Os não sensíveis são aqueles que podem identificar uma pessoa, como nome, idade, CPF, RG, CEP, endereço IP, cookies e data de nascimento, sem que esta informação possa, numa primeira análise, servir de arma para violações de direitos fundamentais, como a dignidade e livre convicção religiosa, por exemplo.
Retenção dos Dados
A WEBSPOT não exclui ativamente nenhum dado de propriedade dos nossos clientes sem que haja a expressa manifestação de vontade deles. Isso também inclui os casos de rescisão do contrato do cliente junto a WEBSPOT, em que há o pedido para excluirmos os dados do cliente, incluindo dados de identificação pessoal.
Possuímos uma política de atendimento aos direitos dos titulares que está disponível em nosso site https://www.webspot.com.br/politica-de-atendimento/
Transferência segura dos dados
Os dados coletados são armazenados em nuvem Linode. A transferência internacional somente é realizada para agentes que aplicam as melhores práticas internacionais de proteção de dados pessoais e garantem proporcionar grau de proteção de dados pessoais adequado ao previsto na legislação. Nesse sentido, a Linode publicamente se compromete a adotar medidas robustas e abrangentes para atender aos requisitos do GDPR (Regulamento Geral sobre a Proteção de Dados) europeu e ir além das demais garantias exigidas pela autoridade de proteção de dados europeia (European Data Protection Supervisor – EDPS) para transferências de dados pessoais a países que não estejam sujeitos à aplicação do Regulamento. Disponível em: https://www.linode.com/pt/legal-compliance/
Essa garantia da Linode se estende a todos os tipos de operação de tratamento de acordo com as políticas apresentadas no endereço https://www.linode.com/pt/legal/
Nossas políticas de privacidade e proteção de dados são atualizadas e publicas em nosso site pelo endereço : https://www.webspot.com.br/politica-de-privacidade/
Comunicação de mudanças
O Gerenciamento de Mudanças em nosso sistema segue um processo documentado, conforme exigido. A finalidade deste processo é definir como as mudanças feitas nos sistemas de são controladas e comunicadas ao cliente. Toda atualização no sistema é comunicada pelo ambiente do cliente por meio de pop-up de novidades.
Gestão de riscos
Utilizamos um processo de gerenciamento de riscos dividido em 5 (cinto) etapas que aborda todo o ciclo de vida do risco, garantindo que os riscos identificados sejam tratados, mitigados e comunicados, de acordo com a relevância.
Nosso processo de gerenciamento de risco traz visibilidade das potenciais ameaças de segurança e nos ajudam a tomar decisões visando os objetivos corporativos. Consideramos processos de mapeamento de risco para a avaliação da probabilidade e impacto das ameaças que podem afetar nossa capacidade estratégica.
Além disso, a identificação de riscos desencadeia o aprimoramento de nossos sistemas de monitoramento e notificação para lidar com sua eventual materialização, seja notificando as pessoas aptas a tratá- los, seja acionando ações automatizadas que possam mitigá-los ou eliminá-los.
Segurança no escritório
Atualmente a WEBSPOT atua em um regime híbrido de trabalho. Com alguns colaboradores trabalhando em regime de home office e outros trabalhando presencialmente em na sede da empresa.
Atualmente a sede da WebSpot fica localizada na Rua Santa Clara 50, Salas 217, 218 e 219 em Copacabana, Rio de Janeiro (RJ). O Edifício Golden Point é um renomado prédio comercial da região que passou por uma reforma recente em todos seus sistemas de segurança para incêndio, o prédio também está adaptado para receber pessoas com necessidades especiais de locomoção.
O escritório da WebSpot também passou por uma reforma recente no ano de 2020 atualmente o mesmo tem estrutura de dois banheiros independentes que podem ser utilizados de acordo com preferência sem nenhuma discriminação de qualquer natureza, copa, sala de descanso, sala de reunião e outras salas de trabalho compartilhadas pelos colaboradores.
Para levantar os fatores de risco do ambiente de trabalho foi realizado um brainstorm com os colaboradores da WebSpot, chegando ao seguinte quadro de risco.
| Risco | Quem pode se machucar | Ações já implementadas para controle de risco | Ações futuras para controle de risco | Quem é o responsável pela ação | Quando a ação deve ser realizada |
|---|---|---|---|---|---|
| Uso de estação de trabalho e equipamentos com tela de exibição |
Colaboradores | * Compra de cadeiras específicas para uso em escritório * Investimentos em equipamentos ergométricos como apoiadores de altura regulável para notebooks, mouse pad com apoio para punho, pantufas para uso facultativo, entre outros. * Respeito a intervalos * Conscientização dos colaboradores ao uso correto das estações de trabalho e respeito ao ambiente para todos. |
1 – Compra de novos equipamentos para substituição ou por novas contratações
2 – Treinamento e orientação de novos colaboradores |
1 – Setor administrativo
2 – Gerencia do setor |
Mediante necessidade ou em virtude de planejamento de contratação |
| Incêndio | Colaboradores e visitantes (fornecedores, clientes e outros) da WebSpot |
* Edifício Golden Point passou por reforma recente ao sistema de segurança de incêndio do prédio para se adequar a novas normas do corpo de bombeiros * Investimento em sistema de monitoramento de incêndio independente complementar ao prédio instalados dentro das salas da WebSpot com monitoramento remoto. |
Troca de pilhas do sistema de monitoramento |
Setor administrativo | Mediante necessidade conforme indicada pelo aplicativo |
| Limpeza e manutenção | Colaboradores e visitantes (fornecedores, clientes e outros) da WebSpot |
*Contratação de serviço de limpeza terceirizado semanal * Manutenção de limpeza do escritório como responsabilidade de todos os colaboradores * Manutenção da limpeza feita por aspirador robô programado por automação para atividade diária em dois horários * Orientação aos colaboradores para reportar a diretoria qualquer necessidade de manutenção no escritório |
1 – Orientação a novos colaboradores
2- Contratação de serviços de manutenção |
1 – Gerencia do setor
2 – Diretoria |
1 – Durante processo de contratação
2 – Sempre que necessário em caráter de urgência |
| Manuseio de papel e equipamentos do escritório | Colaboradores e visitantes (fornecedores, clientes e outros) da WebSpot |
* Uso de prateleiras altas apenas para equipamentos leves * Orientação a colaboradores *Acompanhamento e orientação de visitantes * Organização do escritório |
Orientação a novos colaboradores | Gerencia do setor | Durante processo de contratação |
| Manuseio de equipamentos da copa | Colaboradores e visitantes (fornecedores, clientes e outros) da WebSpot |
* Orientação a colaboradores *Acompanhamento e orientação de visitantes * Organização do escritório *Uso de tomadas inteligentes com monitoramento remoto e desligamento automático programado |
Orientação a novos colaboradores | Gerencia do setor | Durante processo de contratação |
| Tropeços e escorregões | Colaboradores e visitantes (fornecedores, clientes e outros) da WebSpot |
* Orientação a colaboradores para não deixar áreas molhadas *Acompanhamento e orientação de visitantes * Organização do escritório * Substituição imediata de qualquer equipamento com avarias e manutenções necessárias executadas com máxima urgência |
1 – Orientação a novos colaboradores
2- Contratação de serviços de manutenção |
1 – Gerencia do setor
2 – Diretoria |
1 – Durante processo de contratação
2 – Sempre que necessário em caráter de urgência |
| Segurança de Acesso | Colaboradores e visitantes (fornecedores, clientes e outros) da WebSpot |
* Instalação de monitoramento por câmeras com gravação e acesso remoto * Instalação de fechadura eletrônica com abertura por tecnologia RFID disponibilizada nos crachás de acesso com identificação dos colaboradores * Permissão de visitantes apenas acompanhados de colaboradores |
1 – Orientação a novos colaboradores
2- Recolha de crachás em caso de desligamento |
1 – Gerencia do setor
2 – Setor administrativo |
1 – Durante processo de contratação
2 – No momento do desligamento |
| Estresse | Colaboradores | * Uso de música ambiente em volume baixo para deixar ambiente mais animado * Uso de aromatizantes programáveis por automação com essências relaxantes * Manutenção de ambiente limpo e organizado * Adoração de políticas de orientação dos colaboradores para evitar conflitos, discriminações e bullying * Adoção de políticas de prazo e processos de atendimento |
Orientação a novos colaboradores | Gerencia do setor | Durante processo de contratação |
Gestão de vulnerabilidade
A WEBSPOT avalia rigorosamente os recursos testando e identificando as vulnerabilidades realizando scans e testes de penetração em nossos ambientes.
Possuímos um cronograma para as verificações de vulnerabilidade que ocorrem periodicamente e de acordo com a criticidade do escopo.
As vulnerabilidades identificadas são tratadas e endereçadas no nosso processo de gestão de vulnerabilidades e serão devidamente gerenciadas durante todo o seu ciclo de vida.
Sendo de responsabilidade dos stakeholders reportar qualquer vulnerabilidade identificada a WEBSPOT que deverá prontamente atuar em tal vulnerabilidade e comunicar ao stakeholder ações que eliminaram a mesma.
Resposta a incidentes
A WEBSPOT atua arduamente a fim de proteger os dados dos nossos stakeholders e para isso, temos procedimentos de monitoramento dos nossos recursos, com o principal objetivo de identificar potenciais ameaças e para atuar na resposta dessas eventuais ameaças de forma rápida e eficaz. Nosso plano de resposta a incidente foi estruturado em quatro etapas, sendo elas:
Gestão de ativos
Os ativos da WEBSPOT são gerenciados de forma centralizada. Entendemos como ativos materiais pertencentes a WEBSPOT que podem estar localizados em sua sede ou nas dependências de seus clientes.
Nosso controle de ativos é feito através de ferramenta própria de uso exclusivo da empresa, materiais pertencentes a WEBSPOT que estão localizados nas dependências dos clientes são catalogados por meio de etiquetas e inseridos no sistema para controle.
Registro e Monitoramento de segurança
O sistema de monitoramento de segurança da informação consiste em uma série de recursos, práticas e logs ligados à Tecnologia da Informação, empregados para prevenir que dados importantes de um negócio ou dos seus stakeholders sejam acessados e explorados por terceiros. Por isso um monitoramento continuo dos recursos em nosso ambiente e no ambiente do cliente é realizado e armazenado.
Além disso, avaliamos periodicamente a eficácia na identificação e resolução das ameaças e riscos, desencadeando a melhorias dos nossos processos automatizados tornando-os cada vez mais eficazes.
Temos também como prática a orientação para nossos colaboradores só atuarem em eventuais solicitações do cliente que impliquem em modificações de configurações pelos canais de atendimento de suporte oficiais da WEBSPOT. Canais que estão disponíveis no ambiente do cliente.
Continuidade do negócio
Temos um compromisso definitivo com nossos stakeholders a fim de provarmos que somos uma empresa segura e confiável. Por isso temos implementado um plano de continuidade de negócios que foi elaborado para preparar a companhia para lidar com os efeitos de uma emergência.
Nosso plano consiste em diretrizes que devem ser seguidas para preservação e saúde financeira da empresa. Pretende-se que seguir as etapas definidas no plano forneça a base para um retorno relativamente rápido e indolor à rotina comum de funcionamento dos nossos negócios, independentemente da causa.
Recentemente nosso plano foi posto a prova durante a crise da Covid-19 que se estendeu principalmente durante os anos de 2020 e 2021, afetando não apenas o Brasil, mas também os demais países.
A WEBSPOT atravessou a crise com muita maturidade empresarial, conseguindo reter seus clientes, atuando juntos aos mesmo como parceiro durante a crise e seguindo com nossa missão de trazer produtos em softwares inovadores que foram desenvolvidos durante a crise e seguem disponíveis para contratação.
Nosso plano de Recuperação de Desastres é focado em garantir a continuidade das operações e a disponibilidade de recursos críticos em caso de um desastre, contendo instruções sobre quais ações e como responder a incidentes e caracterizado como uma crise, esses incidentes podem estar relacionados a desastres naturais, ataques cibernéticos e quaisquer outros eventos disruptivos.
Conclusão
A WEBSPOT é uma empresa com mais de 10 (dez) anos de atuação. Ao longo de toda sua história a empresa sempre esteve atenta a melhores práticas de segurança e a eventuais mudanças na legislação. E reitera seu compromisso em seguir nessa linha de atuação focando sempre na adoção de melhorias.
Este manual de responsabilidade tem como finalidade firmar nosso compromisso com a proteção de dados e dar luz a devida importância que este tema tem dentro da organização.
A WEBSPOT está consolida como uma das principais empresas em seu mercado de atuação tendo clientes por toda abrangência nacional e grandes referências que confiam no sistema e serviços prestados.