Política Segurança da Informação
1. INTRODUÇÃO
A Covetrus Brazil Holding S/A, sociedade anônima brasileira de, com CNPJ sob o nº 27.059.475/0001-00, com sede principal na Estrada Rio São Paulo, nº 2625, CEP 23075-247, Rio de Janeiro/RJ, Brasil, representando a matriz e suas filiais, com a missão de representar e distribuir produtos de empresas que atendam às necessidades do mercado veterinário, sempre focada em qualidade e pontualidade na entrega.
O crescimento da empresa, juntamente ao desenvolvimento da tecnologia mostraram novos desafios e metas que devemos seguir para entregar serviços com o mais alto padrão de qualidade, de forma que não só atenda aos interesses, mas que promova a proteção de todos aqueles que de qualquer forma se relacionem conosco.
Devido a isso, e buscando sempre uma constante evolução na prestação de seus serviços, a Covetrus Brazil tem se adequado, com excelência, às práticas relativas à privacidade e proteção de seus dados pessoais, desenvolvendo a presente Política de Segurança da Informação (“Política”).
2. OBJETIVO
Através da presente Política, buscamos estabelecer normas e diretrizes que garantam a segurança da informação, prezando pela integridade digital, física e verbal dos ativos de informação que circulam na Covetrus Brazil. Dessa forma, temos como objetivo garantir a gestão da informação para alcançar os resultados desejados, no que se refere a mitigação de riscos, prevenção e redução de efeitos indesejados e contínua melhoria no acesso às informações disponíveis nos ambientes da Covetrus Brazil.
De forma a validar a segurança desses ativos, a Política, portanto, será pautada nos pilares da confidencialidade, integridade e disponibilidade, que podem ser assim definidos:
Confidencialidade: informação acessível apenas para pessoas autorizadas;
Integridade: informação correta, confiável, sem a ocorrência de mudanças não autorizadas;
Disponibilidade: informação sempre acessível para uso legítimo de pessoas autorizadas.
A presente Política se aplica a todos os colaboradores, em todos os âmbitos de sua atuação independentemente da função ou cargo dos colaboradores, por exemplo. Assim, a aplicação será a todos aqueles que, diariamente, tenham de qualquer forma acesso aos dados e informações contidas nos sistemas da Covetrus Brazil, devendo, ainda, ser interpretada em consonância às demais Políticas e Avisos desenvolvidos pela Empresa, bem como em estrita observância à legislação vigente, especificamente à luz da Lei Geral de Proteção de Dados.
3. NORMATIVAS APLICÁVEIS
As normativas aplicáveis a essa Política são:
1º – Constituição Federal de 1988;
2º – Lei nº 13.709/2018, a Lei Geral de Proteção de Dados Pessoais (LGPD);
3º – Código Civil;
4º – Lei n 12.965/2014, o Marco Civil da Internet;
5º – NBR ISO/IEC 27001/27002;
6º – Normas e procedimentos internos que são constantemente revisados e aprovados pelas alçadas competentes e disponibilizadas a todos os colaboradores.
4. RESPONSABILIDADE E ACESSO
A presente Política será revisada pelo Setor de Tecnologia de Informação e deverá ocorrer anualmente ou em periodicidade menor, quando constatada a necessidade.
É fundamental, visando a preservação e proteção das informações, que os Usuários sigam a ação de comportamento seguro, em consoante às políticas da Covetrus Brazil, devendo assumir atitudes proativas e engajadas no que diz respeito à proteção das informações.
Em qualquer hipótese, a Política e suas atualizações estarão disponíveis no sítio eletrônico ou fisicamente junto ao Setor de Tecnologia e Informação.
5. DIRETRIZES GERAIS
Com o objetivo de preservar a integridade, confidencialidade e disponibilidade das informações da Empresa, a Covetrus Brazil determina padrões e diretrizes que orientam o manejo de todos que eventualmente tiverem acesso a informações, dados pessoais e sistemas da organização. Dessa forma, há a adoção de medidas técnicas adequadas para abrandar possíveis vulnerabilidades e riscos de incidentes.
Sopesando os ativos de tecnologia da informação, cuja natureza entremeia dispositivos móveis, rede de Internet ou softwares, toda e qualquer utilização deve ter uma finalidade relacionada à atividade profissional do respectivo Usuário. Destaca-se que o uso particular é vedado, salvo em casos expressamente autorizados.
Observa-se que, a concordância da atuação dos colaboradores para com as seguintes diretrizes é de extrema importância, como incentivo do comportamento adequado que se refere à segurança da informação:
Uso do E-mail:
O e-mail corporativo é a forma oficial de comunicação na Covetrus Brazil. Assim, o uso do e-mail pelos colaboradores deve ser única e exclusivamente para fins relacionados ao desempenho de suas funções e atividades, obedecendo as seguintes regras:
Deve-se utilizar o e-mail corporativo como forma formalizada de comunicação com entes externos (fornecedores, prestadores de serviços, etc.);
O colaborador deve proteger seu endereço de e-mail e senha de acesso. A senha é individual e intransferível, e deve ser atualizada periodicamente, buscando reforçar a segurança das informações disponíveis;
O colaborador deve verificar, sempre que uma nova mensagem for recebida, a origem das mensagens e em caso de suspeita de ação irregular, deve excluir o e-mail da caixa de entrada;
E-mails suspeitos, com mensagens ou imagens inadequada e/ou spams não devem ser respondidos.
É expressamente vedado:
Enviar mensagens de e-mail usando o endereço de seu departamento, nome de usuário de outra pessoa ou e-mail que não esteja autorizado;
Enviar mensagens de e-mail não solicitadas divulgando informações a terceiros sem autorização ou ainda para múltiplos destinatários, exceto se relacionadas a uso legítimo da instituição;
Falsificar ou adulterar o conteúdo de mensagens de e-mails ou ainda o endereço do remetente, fazendo-se passar por outra pessoa;
Acessar sem autorização os e-mails de outro usuário;
Utilizar o e-mail para prática de crimes e infrações de qualquer natureza;
Emitir comunicados que representem a opinião pessoal do colaborador em nome da Covetrus Brazil;
Reproduzir, transmitir ou divulgar mensagens que contenham qualquer ato ou orientação que conflitem com os interesses da Covetrus Brazil;
Nem mesmo reproduzir e/ou encaminhar mensagens que contenham ameaças eletrônicas, tais como: vírus, spam e demais malwares;
Contenham arquivos com código executável (.exe, .com, .bat, .pif, .js, .vbs, .hta, .src, .cpl, .reg, .dll, .inf, .wsf, .APLICATIVO, .SCPT, .APPLESCRIPT) ou qualquer outra extensão que apresente riscos à segurança dos equipamentos ou Tecnologias da Informação da Covetrus Brazil.
Uso da Internet:
O uso da internet de acatar os princípios acima mencionados, em consonância com as funções dos colaboradores e a devida finalidade do acesso. As questões relacionadas à propriedade intelectual, direitos de propriedade, posse e uso, direitos autorais e licenciamento de software devem ser observadas.
Ressalta-se que, o respeito absoluto e observância à privacidade e proteção da informação dos colaboradores, fornecedores e todas as entidades que possuam dados junto à Covetrus Brazil é de extrema importância.
As redes internas de Internet e seus servidores devem ser controlados com acessos privados por meio de usuário e senha dos colaboradores, os quais precisam moderar sua utilização no bom senso quanto aos sites acessados, tempo de utilização e conteúdo baixado.
O acesso à Internet, por meio da rede corporativa, deve ser efetuado somente por equipamentos autorizados pelo setor de Tecnologia da Informação (TI).
Ressalta-se que é vedada a divulgação, compartilhamento de informações de quaisquer gêneros, tais como confidenciais ou restritas, tanto nas ferramentas de comunicação internas, e mais gravemente ainda nas redes sociais de quaisquer gêneros e/ou sites ou qualquer tecnologia via internet.
Não é permitido acessar, armazenar, divulgar e repassar qualquer material ilícito ligado à pornografia, pedofilia, jogos, racismo, homofobia, religião, bitcoins, formatos de áudio e vídeos (mp3, mp4, AVI etc.), entre outros.
Não é permitida a tentativa de lograr os controles de internet, usando software, plug-in ou outros métodos.
Não é permitido utilizar programas para download/upload de arquivos como Peer-to-Peer de qualquer natureza, exceto para desempenho de sua atividade profissional.
Observa-se que, as solicitações de liberação de sites que sejam úteis às tarefas diárias deverão ser feitas através de chamado para análise e liberação do setor TI.
São de propriedade da Empresa todas as tecnologias, ferramentas, equipamentos e serviços disponibilizados para acesso à internet pela Covetrus Brazil. Assim sendo, poderá a Covetrus Brazil, sempre que julgar necessário e a seu exclusivo critério, suspender ou bloquear o acesso a quaisquer arquivos, domínios, aplicações, sites e correios eletrônicos.
É terminantemente proibido a divulgação ou o compartilhamento de informações internas pertencentes à Covetrus Brazil e referentes à sua operação, sobretudo em listas de discussão, sites, redes sociais, fóruns, comunicadores instantâneos ou qualquer outra tecnologia correlata que utilize a internet, sob a hipótese de sofrer penalidades previstas na forma da lei e políticas internas da Empresa.
Deverão todos os arquivos, relativos ao desempenho da função do colaborador e à atividade da Covetrus Brazil, ser necessariamente armazenados no diretório adequado de cada Setor sendo recomendada a realização de backups rotineiros para evitar risco de perda dos arquivos. É expressamente proibido armazenar arquivos corporativos nos diretórios do computador próprio de cada colaborador (exemplo: “Área de Trabalho” ou pasta “Downloads”).
Acessos e ambientes físicos:
Devem os acessos, em sua totalidade, sejam eles físicos ou digitais, aos ativos de informação da Covetrus Brazil serem pautados pela devida necessidade, ficando restritos apenas aos usuários formalmente autorizados.
Complementa-se que os acessos através de usuário e senha dos colaboradores são intransferíveis, ao passo que essas informações não devem ser compartilhadas entre titulares.
Gestão de incidentes de segurança da informação:
No tocante a incidentes relativos à Segurança da Informação, o monitoramento é feito de acordo com as diretrizes apresentadas na Norma de Gestão de Incidentes da Covetrus Brazil.
Cabe salientar que serão analisados, classificados, tratados, registrados e reportados ao solicitante e ao gestor do processo ou sistema impactado, todos os incidentes de Segurança da Informação.
Todo e qualquer incidente de Segurança da Informação deve ser usado como base para a implementação de novos ou modificação de controles existentes.
Ressalta-se que os ativos de informação estratégicos, cuja função suporta os negócios da Covetrus Brazil, devem ser mantidos em backup dedicado e exclusivo, conforme a Política de Backup.
6. VIOLAÇÕES E SANÇÕES
Deverão ser analisadas quaisquer violações a esta Política, suas normas e princípios correlatos, enquanto incidentes de Segurança da Informação, e também ser tratadas de acordo com o processo de gestão de incidentes e com apoio do responsável pelo Setor de Segurança de Informação, do gestor responsável, do Setor de Recursos Humanos e do Setor Jurídico da Covetrus Brazil, quando cabível.
Ainda que por omissão ou mera tentativa não consumada, as violações a esta Política e toda e qualquer diretriz ou norma publicada e veiculada pela Covetrus Brazil, sem prejuízo de demais sanções de natureza civil, criminal e trabalhista, poderão ensejar as seguintes penalidades: advertência verbal, advertência por escrito, suspensão não remunerada e a demissão por justa causa.
A aplicação de sanções e punições deverá considerar a gravidade da infração, o tempo de remediação, efeitos alcançados, reincidência e as hipóteses previstas no artigo 482 da Consolidação das Leis do Trabalho, podendo o gestor, no uso de seu poder disciplinar aqui estabelecido, aplicar a pena cabível com o aval do Jurídico e análise da área de Recursos Humanos.
Além das sanções, caso o gestor entenda necessário e viável poderá aplicar ao colaborador uma medida educativa, que consistirá na realização de um curso, workshops, treinamentos, etc., de curta duração a serem disponibilizados pela Covetrus Brazil.
Ao colaborador ou prestador de serviço envolvido na violação à Política e/ou respectivas diretrizes ou normas será assegurado tratamento justo, correto e confidencial, de modo que qualquer medida tomada deverá ser proporcional e aplicada de acordo com o contrato de trabalho ou prestação de serviços, com a presente Política e com as normas e legislação vigente.
As violações que impliquem em atividades ilegais, ou que possam incorrer em riscos aos titulares de dados pessoais, ou dano à Covetrus Brazil, ensejarão a responsabilização pelos prejuízos, cabendo aplicação das medidas judiciais pertinentes.
7. CONSCIENTIZAÇÃO E TREINAMENTOS
Com o objetivo de efetivar todas as medidas descritas através desta Política, a Covetrus Brazil deve promover programas periódicos para a conscientização da Empresa em relação à segurança das informações, tais como workshops, palestras, treinamentos, campanhas de conscientização e outras.
Tais eventos são obrigatórios para os colaboradores, tendo em vista que podem ser utilizados como critérios para a avaliação de metas ou aplicação de penalidades.
8. NOSSO CONTATO
Existindo a necessidade de contato por qualquer motivo, ou almejando exercer um dos seus direitos relativos aos Dados Pessoais, nosso Encarregado pelo Tratamento de Dados Pessoais, que é a Sra. Mariana Corder Vidal Gantois, pode ser contatado pelo e-mail encarregadodedados@covetrus.com.
9. HISTÓRICO DAS REVISÕES E CONTROLE DE VERSÕES
Data da elaboração | Data da revisão atual | Elaborador/Aprovador | Versão |
26/05/2021 | 15/06/2021 | TI/Jurídico | 01/2021 |