Governança
Corporativa
CISS S.A.
CISS CONSULTORIA EM INFORMATICA, SERVICOS E SOFTWARE S/A, inscrita no CNPJ/ME sob o nº 82.213.604/0001-80, com sede localizada à RUA Presidente Getulio Vargas, Nº 834, Bairro das Torres, CEP 85660-000, Dois Vizinhos/PR única e exclusiva proprietária do website https://ciss.com.br/ (“Site”), apresenta os presentes Termos e Condições de Uso do Site da CISS (“Termos e Condições”).
A navegação e consulta pública do Site se sujeita aos Termos e Condições abaixo. Por favor, leia estes Termos cuidadosamente e compreenda-os, antes de utilizar e cadastrar seus dados no Site.
A aceitação dos presentes Termos e Condições é requisito necessário e indispensável para acesso e utilização do Site.
Este Site foi elaborado de acordo com as leis brasileiras, incluindo, mas sem se limitar a Lei nº 12.965/14 (“Marco Civil da Internet” ou “MCI”), o decreto regulamentador do MCI (Decreto nº 8.771/2016), e a Lei Federal nº 13.709/2018 (“Lei Geral de Proteção de Dados” ou “LGPD”), pautando-se, também, no princípio da boa-fé, direitos autorais e diretrizes do mercado de publicidade da internet aplicáveis.
1. A CISS não garante a disponibilidade integral do Site, no todo ou em parte, restando isenta de qualquer responsabilidade por quaisquer prejuízos relacionados a eventual indisponibilidade.
2. A CISS não garante que o conteúdo, os instrumentos e os materiais contidos, utilizados e oferecidos neste Site estejam precisamente atualizados ou completos, e não se responsabiliza por danos causados por eventuais erros de conteúdo ou falhas de equipamento.
3. A CISS não se responsabiliza, expressa ou tacitamente, pelo uso indevido das informações e dos materiais disponibilizados no Site, para quaisquer que sejam os fins, feito por qualquer usuário, sendo de inteira responsabilidade deste as eventuais lesões a direito próprio ou de terceiros, causadas ou não por tal uso inadequado.
4. Os usuários renunciam neste ato a quaisquer reivindicações ou alegações de qualquer natureza contra o Site, a CISS, ou seus respectivos diretores, funcionários, empregados ou agentes decorrentes ou de qualquer forma relacionados com a utilização deste CISS, assim como em relação aos conteúdos e serviços em geral acessíveis através do mesmo, incluindo, mas sem limitação, quaisquer reclamações ou denúncias relacionadas com a alegada violação dos direitos de propriedade ou erro de conteúdo.
5. Em nenhuma circunstância, a CISS, seus diretores ou funcionários serão responsáveis por quaisquer danos diretos ou indiretos, especiais, incidentais ou de consequência, perdas ou despesas oriundos da conexão com este Site ou uso da sua parte ou incapacidade de uso por qualquer parte, ou com relação a qualquer falha de desempenho, erro, omissão, interrupção, defeito ou demora na operação ou transmissão, vírus de computador ou falha da linha ou do sistema, mesmo se a CISS ou seus representantes estejam avisados da possibilidade de tais danos, perdas ou despesas.
6. O adequado provimento de todos os recursos da Internet, sem exceção, é de inteira responsabilidade do usuário do Site.
7. A CISS não se responsabiliza pelo conteúdo de outros websites (a) cujos endereços estejam disponíveis nas páginas deste Site, ou (b) cujo endereço deste Site esteja neles disponível. A CISS não garante o ressarcimento de quaisquer danos causados pelos websites referidos nesse item.
8. Para mais informações sobre os dados pessoais dos usuários do Site, seja para a troca de mensagens entre o usuário e a CISS por meio da Internet, para solicitação de serviços ou para suporte, favor consultar a nossa Política de Privacidade.
Confidencialidade das Informações dos Usuários
1. A CISS não economiza esforços para garantir o sigilo e a privacidade das informações pessoais dos usuários do Site, de modo que se compromete a agir em conformidade com os termos de sua Política de Privacidade . A CISS se reserva o direito de melhorar as funcionalidades deste Site em função da análise e da consolidação das informações e sugestões colhidas e das oportunidades dessas para o conjunto de usuários do Site.
Direitos de Autor e Propriedade Intelectual
1. Salvo disposição em contrário, todo o conteúdo das páginas deste Site, tais como informações, textos, imagens, fotografias, ilustrações, organização e design da página, materiais gráficos e desenhos, entre outros materiais disponibilizados no Site e, inclusive, demais arranjos relativos a tais elementos, marcas, nomes de domínio, registrados ou não, são de propriedade da CISS ou de terceiros que licitamente cederam seu direito de uso à CISS.
2. São vedados quaisquer atos ou contribuições tendentes à descompilação, engenharia reversa, modificação das características, ampliação, alteração, mesclagem ou incorporação em quaisquer outros programas ou sistemas do Site. Toda e qualquer forma de reprodução do Site, total ou parcial, permanente, temporária ou provisória, de forma gratuita ou onerosa, sob quaisquer modalidades, formas ou títulos é expressamente vedada.
Disposições Gerais
1. A CISS reserva o direito de modificar ou criar adendos ao presente Termos e Condições a qualquer tempo. Caso o usuário não concorde com as alterações dos Termos e Condições, deverá cessar toda e qualquer utilização do Site. O fato do usuário continuar a acessar ou usar o Site após a modificação dos Termos e Condições, representa seu consentimento em vincular-se aos Termos alterados.
2. Estes Termos e Condições de Uso serão regidos pelas leis da República Federativa do Brasil. O usuário concorda em submeter-se à competência única e exclusiva dos tribunais localizados no Brasil.
3. Fica eleito o foro da Comarca de Dois Vizinhos, Estado do Paraná, como o competente para dirimir quaisquer dúvidas ou controvérsias decorrentes ou relacionadas a estes Termos e Condições e à utilização do Site, independentemente de qualquer outro, por mais privilegiado que seja ou venha a ser.
Nota: Ao usar ou acessar este Site e quaisquer de suas páginas, o usuário concorda com os Termos e Condições aqui estabelecidos. Portanto, favor cessar a navegação ou consulta pública das páginas deste Site na eventualidade de não concordar com todos os Termos e Condições acima.
Nós da CISS respeitamos a sua privacidade ao utilizar nosso site (“Site”)
Esta Política de Privacidade, que integra os Termos e Condições de Uso do Site, foi desenvolvida para lhe informar de que modo a CISS CONSULTORIA EM INFORMATICA, SERVIÇOS E SOFTWARE S/A (“CISS”) coleta, armazena, usa, compartilha e trata seus Dados Pessoais fornecidos através do Site.
Esta Política de Privacidade foi elaborada de acordo com as leis brasileiras, incluindo, mas sem se limitar, a Lei nº 12.965/14 (“Marco Civil da Internet” ou “MCI”), o decreto regulamentador do MCI (Decreto nº 8.771/2016), a Lei Federal nº 13.709/2018 (“Lei Geral de Proteção de Dados” ou “LGPD”), pautando-se, também, no princípio da boa-fé.
Para fins desta Política de Privacidade, “Dados Pessoais” são quaisquer informações relacionadas a pessoa natural identificada ou identificável.
Os Dados Pessoais que forem disponibilizados à CISS pelos usuários serão legalmente coletados, para atender às seguintes finalidades:
|
Finalidade |
Dados Pessoais coletados |
Fundamento legal (LGPD) |
|---|---|---|
|
Envio de Newsletter pela CISS após cadastro na seção “Inscreva-se em nossa Newsletter” |
Nome e e-mail |
Consentimento |
|
Contato pela CISS após cadastro nas seções “Nós ligamos pra você” |
“Sou cliente”: nome, e-mail e telefone “Não sou cliente”: nome, e-mail, telefone, cidade e Estado |
Consentimento |
|
Contato pela CISS após cadastro na seção “Estamos Online” (chat – “Solicite uma demonstração gratuita”): |
Nome, e-mail, cidade/UF e telefone (não obrigatório) |
Consentimento |
|
Contato pela CISS após cadastro na seção “Central de Vendas” |
Nome, e-mail e telefone |
Consentimento |
|
Contato pela CISS após cadastro na seção “Fale com outros departamentos” |
Nome, e-mail, telefone (não obrigatório) e cidade (não obrigatório) |
Consentimento |
|
Contato e suporte pela CISS após cadastro na seção “CAC CISS” |
Nome completo, e-mail, telefone fixo e telefone celular |
Consentimento |
Ao concordar com os termos desta Política de Privacidade, bem como efetuar as autorizações específicas sobre o tratamento de seus Dados Pessoais para cada finalidade prevista, você autoriza a CISS a realizar as atividades acima listadas, sendo que você poderá, a qualquer momento, revogar este consentimento, levando em conta eventuais restrições que possam resultar de tal opção, isto quando o tratamento dos dados for essencial para a prestação dos serviços oferecidos no Site.
Caso não informe os Dados Pessoais necessários para as finalidades elencadas neste Item 1, não será possível receber retorno da CISS a respeito de sua mensagem, solicitação de informação, dúvida, entre outros. De qualquer forma, a CISS sempre informará a você os Dados Pessoais que forem necessários, solicitando o devido consentimento antes de efetuar qualquer operação de tratamento.
A CISS assegurará que seus Dados Pessoais permaneçam precisos e atualizados e, com base nas interações que você vier a fazer conosco, poderá verificar se seus dados pessoais permanecem corretos ou se necessitam de complemento e/ou atualização, de acordo com as informações adicionais que você vier a fornecer.
Você poderá, a qualquer momento, cancelar a sua inscrição em qualquer das listas de e-mail, através de link no próprio e-mail com a opção para “descadastramento”.
O cancelamento quanto a inscrição nas listas de e-mails não prejudicará e/ou impedirá a sua utilização do Site.
Para os fins mencionados no Item 1 desta Política de Privacidade, a CISS poderá compartilhar seus Dados Pessoais com terceiros, nas seguintes circunstâncias:
a) Para a empresa que lhe presta serviços de marketing digital, para o fim específico de lhe auxiliar com o envio de e-mails e comunicações, bem como realização de contato em geral, com clientes e não clientes;
b) Para fins de processos judiciais e segurança: caso a CISS seja obrigada por lei a divulgar seus Dados Pessoais, ou, se em seu julgamento de boa-fé, essa ação for razoavelmente necessária para cumprir os processos judiciais, para responder a quaisquer reivindicações, ou para proteger a segurança ou os direitos da CISS e seus clientes;
c) Em caso de incorporação ou aquisição de toda ou parte da CISS por uma outra companhia, ou caso a CISS realize a venda de toda ou uma parte de seu negócio, a adquirente que teria acesso às informações mantidas por esse negócio da CISS, as quais poderiam incluir Dados Pessoais, sujeito à lei aplicável. Do mesmo modo, os Dados Pessoais poderão ser transferidos como parte de uma reestruturação corporativa, processo de insolvência ou outro evento similar, se permitido e feito de acordo com a lei aplicável.
Quaisquer terceiros com os quais a CISS compartilha seus Dados Pessoais estão sujeitos a regras rígidas que precisam ser seguidas para o tratamento de seus Dados Pessoais. Não permitimos que quaisquer terceiros usem os dados de qualquer outra maneira que não esteja de acordo com nossas instruções expressas e específicas, e com as leis de privacidade e proteção de dados pessoais aplicáveis.
A CISS assegura que as suas informações nunca serão compartilhadas com nenhum outro terceiro, que não esteja aqui especificado, ou usadas para finalidades diversas daquelas para as quais foram coletadas, também expressamente especificadas nesta Política.
Em nenhuma hipótese suas informações pessoais ou informações sobre os acessos realizados serão reveladas ou comercializadas a terceiros, a menos que a CISS seja obrigada a fazê-lo mediante ordem judicial ou no estrito cumprimento de dever legal ou, ainda, mediante sua expressa autorização.
Os dados que você nos fornece serão considerados como informações confidenciais da CISS, de modo que tais dados não serão divulgados, exceto aos nossos empregados, subcontratados, afiliados ou parceiros que precisem usar as informações, conforme previsto nesta Política de Privacidade.
Procuramos assegurar as informações pessoais de identificação que você fornece. Por mais que o nosso sistema seja seguro, nenhum sistema de segurança é completamente imune aos ataques de terceiros como "hackers" ou "crackers". Sendo assim, não temos como garantir segurança absoluta de nosso banco de dados e nem podemos garantir que as informações pessoais de identificação que você forneceu não possam ser interceptadas quando a transmissão é feita pela internet. A CISS não responderá por prejuízos que possam advir do vazamento das informações pessoais por violação ou quebra das barreiras de segurança de internet por terceiros como "hackers" ou "crackers".
A CISS toma todas as medidas técnicas e organizacionais para proteger a confidencialidade e segurança de seus Dados Pessoais coletados no Site. Tais medidas incluem, mas não se limitam necessariamente a: (i) armazenar seus Dados Pessoais em ambientes operacionais seguros que não estão disponibilizados ao público e que somente são acessíveis a empregados autorizados da CISS e, (ii) verificar as identidades de usuários registrados antes que eles possam acessar os Dados Pessoais que mantemos sobre eles.
As medidas de segurança acima descritas aplicam-se aos seus Dados Pessoais somente a partir do momento em que a CISS os obtêm e enquanto os mantém sob sua guarda. O funcionamento e a segurança do equipamento que você utiliza para acessar o Site, bem como da rede pela qual os dados trafegam não são de responsabilidade da CISS.
Caso receba e-mails enviados por desconhecidos utilizando titularidade diversa da nossa, que solicitem senhas, dados pessoais, arquivos anexados, e afins, não os abra.
Para fazer com que o Site atenda melhor às suas necessidades, mediante sua prévia autorização,a CISS poderá utilizar um recurso padrão encontrado em seu navegador de internet, denominado “cookie”(*), para registrar cada usuário individualmente. O usuário pode, a qualquer instante, ativar em seu navegador mecanismos para informá-lo quando os mesmos estiverem acionados ou para evitar que sejam acionados.
A CISS reterá os seus Dados Pessoais coletados através do Site pelo prazo necessário para o cumprimento de cada uma das finalidades previstas no Item 1 desta Política de Privacidade. Além disso, a CISS também poderá reter os seus Dados Pessoais de acordo com procedimento interno de retenção, conforme necessário para cumprir com suas obrigações legais e regulatórias, resolver litígios e executar acordos. A CISS pode, assim, reter seus Dados Pessoais depois que você deixar de usar o Site, os quais poderão ser usados somente para estas finalidades, de acordo com os prazos legais de prescrição.
À luz dos direitos garantidos pela lei aplicável, você, como titular de Dados Pessoais, poderá:
a) Revogar seu consentimento a qualquer momento, caso seus Dados Pessoais tenham sido tratados com seu consentimento;
b) Solicitar confirmação da existência de tratamento e acesso aos Dados Pessoais que são objeto de tratamento pela CISS;
c) Solicitar correção de seus Dados Pessoais, caso estes estejam incorretos, incompletos ou desatualizados;
d) Solicitar a anonimização de seus dados pessoais;
e) Solicitar a exclusão, parcial ou total, de seus Dados Pessoais: (i) caso não sejam mais necessários para o tratamento pela CISS, (ii) caso você tenha revogado seu consentimento para o tratamento de dados baseado exclusivamente nesse consentimento, (iii) caso você tenha feito objeção ao tratamento de dados, (iv) caso o tratamento de Dados Pessoais esteja em desconformidade com a legislação aplicável;
f) Solicitar a portabilidade dos Dados Pessoais fornecidos, particularmente se o tratamento de Dados Pessoais estiver baseado no seu consentimento ou na execução de um contrato;
g) Solicitar a informação das entidades públicas e privadas com as quais a CISS realizou uso compartilhado de dados;
h) Solicitar a informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
i) Você sempre terá a opção de não compartilhar seus Dados Pessoais conosco. Se você escolher esta opção, você poderá limitar as atividades e recursos que podemos lhe fornecer.
O nosso Site não se destina a menores de idade, ou seja, a indivíduos com idade inferior a 18 (dezoito) anos. Caso sejamos notificados ou tivermos conhecimento que um menor de idade submeteu seus Dados Pessoais a nós através do Site, iremos deletar tais Dados Pessoais de imediato.
Nós não somos responsáveis pelas informações pessoais fornecidas e confiamos que todas elas sejam verdadeiras.
Se você quiser fazer uma solicitação relacionada aos direitos descritos no Item 6 acima, ou se você tiver questionamentos ou dúvidas em relação a esta Política de Privacidade ou ao tratamento de dados realizado por nós, por favor, entre em contato conosco através do formulário Fale com o DPO.
Nos reservamos o direito de modificar ou criar adendos a esta Política de Privacidade a qualquer tempo. Levamos muito em consideração a privacidade e pretendemos estar sempre à frente nos assuntos de política de privacidade e proteção, em consonância com a legislação brasileira em vigor.
A CISS informará sempre que a presente Política de Privacidade sofrer qualquer tipo de alteração.
Antes do envio definitivo de suas informações no Site, você deverá confirmar que aceita e está de acordo com esta Política de Privacidade. A partir da sua confirmação, livre, informada e inequívoca, com relação a esta Política de Privacidade, restará demonstrada a sua ciência e o seu consentimento quanto à coleta, uso, armazenamento e ao tratamento de seus dados pessoais pela CISS
(*) Cookies: pequenos textos enviados ao seu navegador pelos sites que você visita; têm como função armazenar informações e configurações relacionadas à sua visita para avaliar as interações dos usuários com o conteúdo dos websites.
Responsável: Comitê SGSI |
Versão: 4.0 |
Referência: ISO/IEC 27001:2013 / ISO/IEC 27002:2013 / Lei Geral de Proteção de Dados Pessoais (LGPD) |
Nível de confidencialidade: Pública |
O modelo de negócios da CISS é fundamentalmente baseado na informação. Seu valor é estratégico e determinante para a competitividade e continuidade do seu negócio. Com o objetivo de proteger suas informações, de seus colaboradores e clientes, a CISS promulga esta política de segurança da informação, devidamente aprovada pelo seu conselho administrativo.
Todos os departamentos da CISS, seus respectivos colaboradores, estendendo-se a fornecedores e visitantes, devem conhecer e respeitar essa política, sendo que seu descumprimento poderá implicar em medidas disciplinares, administrativas e legais.
Dado Pessoal: informação relacionada a pessoa natural identificada ou identificável;
Dado Pessoal Sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
Autenticação de dois fatores: é um recurso oferecido por vários prestadores de serviços online que acrescentam uma camada adicional de segurança para o processo de login da conta, exigindo que o usuário forneça duas formas de autenticação. A primeira forma – em geral – é a sua senha. O segundo fator pode ser qualquer coisa, dependendo do serviço. O mais comum dos casos, é um SMS ou um código que é enviado para um e-mail.
Avaliação e Tratamento de Riscos: aplicação sistemática de políticas de gestão , procedimentos e práticas para as atividades para comunicar, consultar, estabelecer o contexto e identificar, analisar, avaliar, tratar,monitoramento e análise de risco;
Ativos de informações: No contexto desta Política, este termo aplica-se a sistemas de informações e a outras informações/outros equipamentos, incluindo documentos em papel, celulares, computadores portáteis, mídia de armazenamento de dados, etc.
Arquivo de registro de mensagens (logs): registro de eventos relevantes, utilizados para restaurar um sistema, diagnosticar problemas ou realizar auditorias.
Comitê SGSI: Comitê multidisciplinar formado por colaboradores, gerentes e diretores, equipe responsável por atuar no processo de Gestão do Sistema de Segurança da Informação, de forma direta e operacional.
Confidencialidade: Propriedade de que a informação não será disponibilizada ou divulgada sem autorização do proprietário.
Código malicioso: termo comumente utilizado para genericamente se referir a programas desenvolvidos para executar ações danosas e atividades maliciosas em um computador ou dispositivo móvel. Tipos específicos de códigos maliciosos são: vírus, worm, bot, spyware, backdoor, cavalo de troia e rootkit.
Disponibilidade: Propriedade de ser acessível e utilizável por uma entidade.
Gestão do SGSI: atividades coordenadas para dirigir e controlar uma organização no que diz respeito ao SGSI.
Incidente de Segurança da Informação: Evento não planejado que pode acarretar prejuízos à empresa ou mesmo violar as regras de segurança.
Integridade: Propriedade de proteção à precisão e precisão dos recursos (ativos).
Políticas: intenções e orientações globais expressas formalmente pela diretoria.
Procedimento: Documento especificado para realizar uma atividade ou um processo.
Proxy: também conhecido por filtro de conteúdo, é o servidor responsável por intermediar o acesso à internet, aplicando regras de controle de acesso e mecanismos de proteção contra códigos maliciosos, previamente configurados, e por controlar a alocação de recursos de rede.
Proxy externo: são servidores não administrados pela CISS, responsáveis por intermediar o acesso à internet, que não aplicam as regras de controle de acesso e mecanismos de proteção da mesma forma que o Proxy administrado pela CISS.
Sistema de Gestão da Segurança da Informação (SGSI): Estrutura de políticas, procedimentos, guias e recursos associados com foco nos riscos do negócio, cuja finalidade é estabelecer, implementar, operar, monitorar, revisar, manter e melhorar a segurança da informação.
A fim de alcançar seu objetivo, esta Política de Segurança da Informação estabelece os seguintes princípios fundamentais:
2.1. A responsabilidade pela segurança da informação é de todos os colaboradores da organização;
2.2. Os ativos de informação da organização devem-se ser utilizados de maneira ética e profissional por todos;
2.3. Acesso aos ativos de informação somente por pessoas autorizadas, respeitando a sua confidencialidade;
2.4. Deve-se manter a Integridade das informações durante todo o seu ciclo de vida, ou seja, desde sua criação até seu descarte;
2.5. Estar em conformidade com regulamentações, legislações, políticas e normas organizacionais;
2.6. ConstituemIncidente de Segurança da Informação:
a. O descumprimento desta política e de outras políticas, normas, guias e procedimentos que compõem o SGSI;
b. Qualquer ação que coloque em risco aConfidencialidade, Integridade, Disponibilidade e Privacidadedas informações da CISS ou sob sua tutela.
2.7. Toda pessoa que identificar umIncidente de Segurança da Informaçãodeve reportá-lo imediatamente, para isso deve-se utilizar os canais abaixo identificados:
a. Colaboradores devem Registrar Ocorrência de Segurança do site INTRACISS;
b. Fornecedores, Clientes, Parceiros, Terceirizados, entre outros que não possuem acesso ao INTRACISS, devem utilizar o e-mail gsi@ciss.com.br.
2.8. Todos osIncidentes de Segurança da Informaçãodevem ser devidamente analisados e acompanhados até sua resolução, podendo os responsáveis serem submetidos a medidas disciplinares previstas no regulamento interno, à aplicação de sanções previstas em contrato ou na legislação vigente.
3.1.O proprietário da informação é responsável por classificá-la adequadamente aplicando nível de proteção proporcional a sua importância.
3.2.Cabe ao proprietário da informação rotular as informações com o nível de segurança adequado e a todos os colaboradores que vierem a manusear a informação replicá-la.
3.3.As informações só podem ser divulgadas para terceiros quando por força de lei, ordem judicial ou com autorização do proprietário.
3.4.As informações, em especial dados pessoais e dados pessoais sensíveis, devem ser tratadas de forma ética, profissional e transparente, devendo ser utilizadas unicamente para a finalidade para a qual foram coletadas.
3.5.Todas as informações da CISS, ou de sua responsabilidade, devem ser classificadas de acordo com seu valor para o negócio e sensibilidade utilizando os níveis de segurança apresentados abaixo:
| Nível de Segurança | Rótulo | Critérios de Classificação | Quem pode Acessar |
Público |
Não se aplica |
Tornar a informação pública não pode prejudicar a empresa. O documento NÃO contém dados pessoais ou dados pessoais sensíveis. |
Qualquer pessoa. |
|
Interno |
Informação Interna |
O acesso não autorizado às informações pode causar pequenosdanose/ou inconvenientes à CISS. O documento contém dados pessoais. |
Apenas colaboradores e prestadores de serviço autorizados |
Confidencial |
Informação Confidencial |
O acesso não autorizado às informações pode causar danos consideráveis aos negócios e/ou à reputação da CISS. O Documento contém dados pessoaissensíveis. |
Apenas o dono do documento e pessoas autorizadas por ele. |
4.1. As senhas e outras formas de autenticação são individuais, secretas, intransferíveis e seu proprietário é responsável pelo seu uso e por todas as ações realizadas por meio desta;
4.2.Altere as senhas frequentemente ou quando houver indicações de que possam ter sido comprometidas;
4.3.Defina senhas fortes, preferencialmente não utilizar informações pessoais ou similares a senhas pessoais;
4.4.Evite armazenar suas senhas em sistema de entrada automatizada, como de navegadores ou similares;
4.5.Recomenda-se a utilização de autenticação de dois fatores sempre que o sistema possuir esta funcionalidade;
5.1.Informações confidenciais, em especial dados pessoais sensíveis, não devem ser deixadas visíveis ou expostas às pessoas não autorizadas.
5.2.Documentos enviados para impressão que contenham informações confidenciais e/ou dados pessoais sensíveis, devem ser recolhidos imediatamente, a fim de impedir acesso não autorizado.
5.3.Dispositivos CISS devem ser “bloqueados” por senha sempre que estiverem desacompanhados do seu proprietário.
5.4.Todos os computadores da organização devem ser configurados para serem “bloqueados automaticamente” após 10 minutos de inatividade. Cabe a cada colaborador garantir que seu computador esteja adequadamente configurado.
6.1.A instalação da organização é dividida em níveis de segurança os quais devem ser protegidos proporcionalmente ao valor dos ativos.
6.2.O acesso privilegiado a ativos de alto valor só deve ser disponibilizado mediante aprovação formal do proprietário do ativo.
6.3.Os direitos de acesso devem ser definidos por papel e identificados na sua respectiva descrição. Cada papel deve possuir apenas os direitos de acesso necessários para suas atividades.
6.4.O acesso a dados pessoais e principalmente a dados pessoais sensíveis devem ser restritos ao menor conjunto de pessoas possível.
6.5.No ato do desligamento de um colaborador os acessos do mesmo devem ser revogados o mais rápido possível.
6.6.No ato da mudança de função de um colaborador os acessos do mesmo devem ser revisados a fim de garantir que permaneçam coerentes com a função atual.
6.7.Compete aos gestores comunicarem ao TH as mudanças de função ou remanejamento para que os acessos do colaborador sejam devidamente adequados.
6.8.Durante o período de férias do colaborador, seus acessos físicos e lógicos devem ser revogados.
6.9.Os colaboradores não devem acessar qualquer informação ou sistema da organização fora de seu expediente horário de trabalho, em especial durante seu período de férias.
6.10.Os direitos de acessos devem ser periodicamente revisados a fim de se identificar e remover acessos inadequados ou desnecessários.
6.12.Recomenda-se que nas dependências da organização todos portem crachá de identificação em local visível. Em caso de atividades para as quais o crachá não possa ser utilizado, deve-se utilizar colete de identificação.
6.13.O acesso às áreas restritas deve ser realizado somente pelos colaboradores e/ou pessoas autorizadas.
6.14.A entrada e saída da organização devem ocorrer pelos locais adequados. Saídas de emergências só devem ser utilizadas em situações de emergência ou simulações.
7.1.As redes da organização devem ser segregadas de acordo com seu propósito de modo a proteger os ativos de alto valor de acessos indevidos.
7.2.Apenas dispositivos CISS ou de terceiros autorizados podem acessar as redes da empresa.
7.3.O acesso à rede corporativa deve estar em conformidade com o procedimento para acesso a redes.
7.4.É proibido o compartilhamento (“roteamento”) de qualquer rede disponibilizada pela CISS.
7.5.É proibida a conexão de qualquer dispositivo não fornecido pela CISS na rede cabeada da CISS, sem a prévia anuência do departamento de TI.
7.6.Todos os dispositivos que saírem do perímetro da CISS devem obrigatoriamente efetuar o procedimento de verificação antes de serem conectados na rede interna.
7.7.O Acesso remoto a redes e serviços de redes da CISS só deverá ser feito por usuários autorizados e em conformidade com a política de trabalho externo.
8.1.Todos os computadores e notebooks da organização devem possuir os discos criptografados.
8.2.Todos os computadores e máquinas virtuais compatíveis com o antivírus devem possuir o mesmo instalado e gerenciado de forma central pelo departamento de TI, sendo expressamente proibido aos colaboradores desinstalar ou ‘pausar’ esse serviço.
8.3.Todo e qualquer software licenciado para CISS pode ser instalado e utilizado apenas em dispositivos da empresa e para fins profissionais.
8.4.Os dispositivos da organização devem possuir o acesso bloqueado às entradas de transferências de dados (USB ou Similar), exceto quando formalmente autorizado pelo gerente ou diretor da área e aprovado na avaliação de riscos do TI.
8.5.A fim de propiciar aos colaboradores a autonomia necessária para o desempenho de suas atividades, todos os colaboradores possuem permissão para instalar softwares em seus respectivos dispositivos, contudo, ao instalar ou utilizar softwares fica expressamente proibido:
8.5.1.Instalar e/ou utilizar softwares irregulares ou com licenciamento inadequado para a organização, como por exemplo, licenciamento para uso acadêmico ou para fins não comerciais;
8.5.2.Instalar e/ou utilizar softwares que não condizem com as suas funções na organização. Como por exemplo, jogos, torrents, mineração de criptomoedas, entre outros;
8.5.3.Instalar softwares usados para fins pessoais ou a possibilidade de ser potencialmente malicioso é desconhecida ou suspeita;
8.5.4.Instalar softwares de fontes não confiáveis. Em especial para celular, deve-se apenas instalar aplicativos através da marketplace oficial do dispositivo (Google Play ou Apple Store).
8.6.Quanto ao uso de celulares durante o exercício das atividades profissionais é proibido:
8.6.1.Usar o celular para registrar, por texto, áudio, vídeo ou foto, quaisquer informações empresariais ou confidenciais;
8.6.2.Usar o celular para gravar conversas sem que todos os envolvidos na conversa tenha autorizado previamente a gravação;
8.6.3.Usar o celular para atividades que infrinjam quaisquer leis ou normativas aplicáveis à pessoa física ou à empresa;
8.6.4.Usar o celular para disseminar informações pessoais relacionadas a empresa, ou dados referentes ao setor ao qual o remetente do conteúdo esteja incluído;
8.6.5.Usar de linguagem imprópria, ou ter comportamentos considerados nocivos à imagem da empresa enquanto estiver em ligação ou envio de áudio no horário de trabalho, principalmente com a presença de clientes, vendedores e representantes.
8.7.No ato do desligamento de um colaborador deve- se recolher os ativos em sua posse e realizar os bloqueios de acessos necessários.
8.8.No ato de mudança de papel de um colaborador devem-se revisar os ativos em sua posse e realizado os ajustes necessários.
8.9.Ativos de alto valor não devem ser retirados das dependências da organização sem permissão do proprietário do ativo.
9.1.O acesso à internet deve ser utilizado estritamente para as atividades relacionadas ao trabalho, será controlado e monitorado.
9.2.A empresa se reserva o direito de bloquear o acesso a qualquer site que no seu entendimento representa ameaça à segurança da informação.
9.3.O histórico de navegação deve ser registrado e armazenado apropriadamente para fins de auditoria.
9.4.É expressamente proibido o uso de proxy ou similar com a finalidade de omitir a sua identidade durante a navegação.
9.5.É proibida a utilização de qualquer tipo de mecanismo ou recurso para burlar os controles de acesso à Internet.
9.6.Deve-se evitar ao máximo a utilização de serviços e ferramentas que realizem a transferência (upload) de informações para repositórios (nuvem) fora do controle da CISS.
10.1.O e-mail corporativo é disponibilizado aos colaboradores como ferramenta de trabalho e, portanto, seu uso deve ser feito exclusivamente para fins profissionais. Alguns exemplos de uso não profissional do e-mail são:
10.1.1.Utilizar o e-mail corporativo para cadastro em sites de compras, em listas tipo FEEDS e NEWS;
10.1.2.Praticar crimes e infrações de qualquer natureza;
10.1.3.Distribuir material obsceno, pornográfico, ofensivo, preconceituoso, discriminatório, ou de qualquer forma contrário à lei e aos bons costumes;
10.1.4.Executar ações nocivas contra outros recursos computacionais da CISS ou de redes externas;
10.1.5.Disseminar anúncios publicitários, mensagens de entretenimento e mensagens do tipo “corrente”, vírus ou qualquer outro tipo de programa de computador que não seja destinado ao desempenho de suas funções ou que possam ser considerados nocivos ao ambiente de rede da CISS;
10.1.6.Emitir comunicados gerais com caráter eminentemente associativo, sindical ou político-partidário;
10.1.7.Divulgar, no todo ou em parte, os endereços eletrônicos corporativos constantes do catálogo de endereços do serviço;
10.1.8.Executar outras atividades lesivas, tendentes a comprometer a intimidade de usuários, a segurança e a disponibilidade do sistema ou a imagem da CISS;
10.1.9.Reproduzir qualquer material recebido pelo e-mail corporativo ou outro meio que possa infringir direitos autorais, marcas, licença de software ou patentes existentes, sem que haja permissão comprovada do criador do trabalho.
10.2.É mandatório a utilização de autenticação de dois fatores em todas as contas de e-mail da organização, cabendo ao proprietário da conta garantir que ela esteja devidamente configurada.
10.3.A CISS se reserva o direito de, a qualquer tempo e sem aviso prévio, monitorar e auditar o uso do sistema e inclusive o conteúdo das mensagens quando julgar necessário. Sendo assim, o colaborador não deve manter qualquer expectativa de privacidade e propriedade intelectual sobre o conteúdo das mensagens criadas, armazenadas, enviadas ou recebidas através do sistema de e-mail corporativo.
10.4.O usuário é responsável por verificar se a origem da mensagem recebida é de fonte confiável e de interesse da empresa, a fim de evitar algum dano aos recursos tecnológicos.
O usuário deve tomar os devidos cuidados para não enviar mensagem eletrônica contendo informações confidenciais e/ou de propriedade da CISS para destinatários não autorizados.
10.5.Não é permitido utilizar contas de e-mails particulares para fins profissionais.
10.6.O usuário é responsável pelo conteúdo de mensagens enviadas via e-mail corporativo sob sua identificação.
10.7.A agenda corporativa de todo colaborador deve estar configurada por padrão como 'ocupado' para manter a confidencialidade dos eventos. É responsabilidade do colaborador monitorar e garantir essa configuração.
11.1.Cabe ao proprietário da informação avaliar a aplicabilidade de controles criptográficos bem como selecionar métodos de criptografia com segurança proporcional ao valor da informação. Contudo, para o tratamento de dados pessoais ou dados pessoais sensíveis é expressamente recomendável o uso de controles criptográficos.
11.2.Certificados e chaves criptográficas devem ser gerados e armazenados de forma segura, bem como destruídos ou revogados quando não forem mais necessários.
11.3.A validade das chaves e certificados deve ser monitorada pelos responsáveis para garantir sua disponibilidade.
12.1.O backup das estações de trabalho é de responsabilidade do próprio usuário e para isso deve-se usar as ferramentas fornecidas pela empresa.
12.2.A organização deve estabelecer um site backup em local alternativo a fim de evitar danos em caso de desastres ocorridos na sede da empresa, e estas cópias de segurança devem ser testadas regularmente.
12.3.As cópias de segurança devem ser eliminadas após o tempo de retenção definido.
13.1. O trabalho externo é permitido para:
13.1.1.Colaboradores em cargos de Liderança: Diretores, Gerentes, Coordenadores, Supervisores/Líder Técnico e Confiança: Contador e Controller;
13.1.2.Colaboradores cujo cargo contemple atividades externas, como executivo de vendas, pós-vendas, suporte externo, consultoria e analista de implantação;
13.1.3.Colaboradores que executam atividades de plantão através do sobreaviso e/ou prontidão com autorização do líder imediato;
13.1.4. Colaboradores com autorização formal do seu líder imediato. A autorização deve seguir os procedimentos definidos pelo TH.
13.2. Fora do período de trabalho, mesmo colaboradores pré-autorizados, os dispositivos CISS só podem ser retirados da empresa com autorização do líder imediato.
13.3. Ao executar o trabalho externo o colaborador deve continuar obedecendo todos os procedimentos e políticas de segurança da organização.
13.4.O trabalho externo deve ser realizado preferencialmente em dispositivo CISS. Para isso, é permitido aos colaboradores autorizados a trabalhar externamente, utilizar fora da empresa o dispositivo que lhe foi fornecido pela empresa.
13.5. O colaborador deve tomar os devidos cuidados durante o transporte, uso e armazenamento do dispositivo CISS a fim de evitar danos ao equipamento. Danos causados por negligência do colaborador deverão ser ressarcidos pelo mesmo, conforme manual de conduta.
13.6.A conexão em redes e/ou servidores da empresa deve ser feita conforme procedimento para acesso a redes CISS.
13.7.O colaborador deve garantir que o seu notebook esteja com o disco devidamente criptografado.
13.8.O colaborador deve garantir que o seu notebook esteja com o antivírus devidamente atualizado.
13.9. O colaborador deve estar ciente que o trabalho externo representa sérios riscos à segurança da informação e sendo assim é de sua responsabilidade conhecer e aplicar as políticas e procedimentos de segurança de informação definidos pela organização. Neste sentido deve-se conhecer e aplicar as boas práticas de segurança da informação em ambientes externos.
13.10. Deve-se evitar ao máximo o uso de dispositivos que não seja de propriedade da CISS, caso isso seja extremamente necessário, então se deve tomar cuidados, mas não limitado a:
13.10.1.Garantir que o mesmo possua antivírus e sistema operacional atualizado;
13.10.2.Não grave dados da empresa em computadores pessoais ou armazenamentos pessoais em cloud;
13.10.3.Preferencialmente utilizar apenas os softwares/sistemas da CISS disponíveis via navegador (SaaS);
13.10.4.Não usar softwares pessoais, ilegais ou de uso acadêmico para fins comerciais;
13.10.5.Evitar ao máximo a instalação de softwares licenciados para a CISS;
13.10.6.Ao utilizar um dispositivo pessoal o colaborador deve utilizar apenas a conexão de VPN indicada pelo TI.
14.1.Na seleção de fornecedores, deve-se considerar os aspectos relacionados à segurança da informação, em especial, na aquisição de produtos e serviços que terão acesso às informações de alto valor para a organização.
14.2.Aquisições de produtos ou serviços que irão tratar dados pessoais, dados pessoais sensíveis ou outro tipo de informação confidencial devem ser analisados e aprovados pela equipe de governança e segurança de informação antes de qualquer compromisso ser firmado.
14.3. O proprietário do ativo deve monitorar e analisar criticamente a qualidade de produtos e serviços sensíveis para o negócio a fim de identificar a necessidade de mudanças.
14.4. A CISS se reserva o direito de aplicar e alterar políticas para resguardar seus ativos quando julgar pertinente.
15.1.A preocupação com a segurança deve estar presente em todas as fases do processo de desenvolvimento.
15.2.Os ambientes de desenvolvimento e teste devem ser isolados do ambiente de produção.
15.3.Deve ser avaliada a presença de vulnerabilidades de segurança antes da aquisição ou adoção de componentes e/ou frameworks de terceiros.
15.4.Deve-se utilizar técnicas de programação defensiva e padrões de codificação que reduzam a vulnerabilidade do sistema, assim como as melhores práticas e recomendações de segurança do mercado.
15.5.Deve ser oferecido para todo colaborador cujo papel exija conhecimento nas melhores práticas de desenvolvimento seguro, formas de capacitação no assunto.
15.6.Periodicamente realizar testes de invasão nas aplicações que tratam dados pessoais ou outras informações confidenciais.
15.7.Vulnerabilidades críticas e altas devem ter sua correção priorizada a fim de serem eliminadas o mais rápido possível.
16.1.Deve-se manter atualizado o inventário dos ativos da informação da organização com proprietário, nível de segurança e valor devidamente designado.
16.2.Competindo ao proprietário do ativo comunicar a equipe GSI toda mudança significativa no ativo.
16.3.Cabe aos gestores das áreas informar o GSI do surgimento de novos ativos da informação.
16.4.O proprietário do ativo é responsável pela confidencialidade, integridade e disponibilidade das informações do ativo em questão.
16.5.Os riscos à segurança da informação e privacidade devem ser periodicamente identificados, avaliados e tratados por meio de um processo estabelecido alinhado às melhores práticas do mercado para o tema.
16.6.Riscos residuais acima do apetite a riscos da organização devem ter seu tratamento formalmente aprovado pela direção da respectiva área.
Esta política de segurança da informação deve ser revisada ao menos uma vez ao ano e sempre que ocorrerem mudanças signifiativas nas questões internas ou externas. Esta versão da política de segurança da informação foi devidamente avaliada e aprovada pelo Comite SGSI, do qual faz parte o representante da Alta Direção Adriano Cagnini.
Adriano Cagnini
Diretor de Operações
A presente política de patrocínio de projetos incentivados tem por finalidade estabelecer os critérios para investimento pela CISS S.A. em projetos sociais, educacionais, culturais, esportivos, saúde e bem-estar.
A CISS S.A patrocina Projetos que tenham por objetivo:
Somente serão selecionados projetos que atendam a um ou mais dos objetivos acima, respeitem as regras desta Política e cumpram suas finalidades.
Na análise dos projetos, também serão levados em consideração a sua localidade, com priorização das regiões que possam maximizar os ganhos do projeto, o seu impacto social e a sua visibilidade, o que inclui o interesse público, o público estimado e as inserções publicitárias.
Para a inscrição de Projetos, o proponente deverá ler integralmente a presente Política e, caso esteja de acordo, preencher o formulário de inscrição disponível em inscrição de projeto de forma completa.
Ao inscrever um Projeto, o proponente garante a veracidade e a integridade das informações apresentadas no formulário de inscrição, tendo plena ciência das consequências relacionadas à omissão e/ou falsidade de dados.
O candidato ao patrocínio deverá ser o responsável pelo Projeto e responderá, inclusive judicialmente, no caso de qualquer questionamento que diga respeito às informações prestadas e ao Projeto a ser realizado.
Os Projetos passarão por uma pré-seleção pela área responsável. Caso seja constatado nessa primeira análise que o projeto atende aos requisitos e aos objetivos estratégicos e sociais da CISS S.A e está em situação regular, o Projeto seguirá para análise do conselho administrativo.
A CISS S.A se reserva o direito de cancelar, a qualquer tempo, os processos de patrocínio relativos a Projetos envolvidos em questionamentos legais que possam impactar a sua reputação, realização ou confiabilidade.
As propostas de patrocínio devem ser enviadas com antecedência mínima de 180 (cento e oitenta) dias da realização do Projeto.
Após aprovado, o patrocínio do Projeto será formalizado através de contrato de patrocínio, a ser firmado entre o candidato e a CISS S.A.
A aprovação do Projeto não implica na aprovação do valor solicitado. A CISS S.A se reserva o direito de decidir o valor do aporte destinado a cada Projeto, conforme as contrapartidas oferecidas e a disponibilidade de recursos.
Os recursos financeiros serão depositados no prazo a ser informado após a aprovação da proposta, validação da documentação aplicável e assinatura do contrato de patrocínio.