Publicação: 26/02/2019
Independentemente da Lei 13.709/2018 – Lei Geral de Proteção de Dados, a GS Ciência do Consumo pautou, desde o início, seus produtos com respeito à privacidade dos consumidores que inserem seus dados nos sistemas por ela desenvolvidos, jamais comercializando ou compartilhando dados pessoais com pessoas físicas e/ou jurídicas estranhas aos contratos pactuados.
Entretanto, a partir de setembro de 2018, logo após a sanção da lei acima mencionada, a empresa cuidou de formalizar todos os processos ainda não documentados, bem como alinhou esforços no sentido de tornar seus sistemas mais robustos e menos expostos às muitas ameaças cibernéticas.
Embora ainda estejamos envolvidos em diversas questões dispostas na lei, para as quais nos debruçamos em outras fontes, em virtude da ausência de regulamentação de várias delas, muito já construímos.
Seguem os principais pontos sobre os quais já nos detivemos para estar em conformidade com a LGPD, seja em forma de debates, seja documentalmente ou de forma técnica.
Importante ainda ressaltar que, diferentemente de várias empresas, nosso programa de governança se subdivide em dois pilares: aquele que toca os processos internos e aquele que toca os produtos por nós comercializados. Neste momento, ambos andam lado a lado em direção à conformidade necessária em relação à Lei Geral de Proteção de Dados e outras regulações setoriais.
Convergência Técnica e Documental
Os produtos desenvolvidos pela GS – Ciência do Consumo – passaram por profunda análise de seus módulos objetivando melhorar e mitigar vulnerabilidades que possam ocasionar quaisquer vazamentos de dados.
Os processos de auditoria foram realizados pela empresa Resh Cyber Defense, especializada em inteligência cibernética e, em razão das recorrentes avaliações, os produtos auditorados receberam um selo de certificação indicando a ausência de vulnerabilidades conhecidas e relatadas pela comunidade de segurança mundial, com base no relatório OWASP TOP 10.
A robustez dos nossos sistemas, traduz-se na cadeia documental que confere segurança jurídica aos nossos clientes, desde o contrato de licença de uso e seus anexos, como Termos de Consentimento e de Compartilhamento dos Dados, bem como Políticas de Privacidade e Termos e Condições de Uso dos nossos softwares.
Suporte e Unificação de Processos e Métodos de Coleta de Dados
Oferecemos aos nossos canais e clientes, apoio jurídico e técnico na implementação de processos de coleta de dados que estejam em conformidade com a legislação sobre a matéria, além da legislação específica que regula os segmentos específicos de negócios, e a regulação referente a promoções e sorteios, hoje sob a tutela da Receita Federal.
Política de Segurança da Informação
Os mesmos princípios éticos e as diretrizes legais que guiam o processo de coleta, guarda e tratamento de dados dos nossos clientes fundamentam nossos processos internos, especificamente nos pontos que tocam nossos colaboradores, gestores, clientes e parceiros de negócios. Para fins informacionais, seguem os principais pontos de alguns dos nossos documentos que também podem ser consultados por meio deste canal.
- Escopo;
- Abrangência;
- Conceitos e definições;
- Princípios éticos;
- Diretrizes gerais;
- Diretrizes específicas;
- Da gestão dos ativos de informação;
- Da gestão de risco dos ativos de informação;
- Da segurança empresarial;
- Da segurança em recursos humanos;
- Da documentação;
- Da continuidade de negócios;
- Da criptografia;
- Da auditoria, monitoria e conformidade em Segurança da Informação;
- Do plano de investimento;
- Dos instrumentos jurídicos e compartilhamento de informações;
- Das competências e responsabilidades;
- Das violações e penalidades;
- Da vigência e atualização.
Política Interna de Gestão de Dados
Nossa política interna de gestão de dados, em fase de implementação, foi delineada com base nas seguintes ações:
- Mapeamento de dados pessoais;
- Criação e adaptação de documentos de confidencialidade e responsabilização nos termos dos preceitos legais sobre responsabilidade solidária e objetiva;
- Criação do comitê de governança de dados;
- Processo de gerenciamento de pedidos dos titulares e da Autoridade Nacional de Proteção de Dados;
- Treinamento da equipe;
- Compliance de parceiros de negócios;
- Protocolo de utilização da rede interna;
- Inventariado de licenças de programas de computadores;
- Política de BYOD (Bring Your Own Device).
Medidas técnicas, operacionais e jurídicas para a adequação de produtos e serviços:
- Arquitetura de produtos: privacy by design e privacy by default;
- Segurança interna e controle de acesso;
- Metodologia de coleta, guarda e tratamento de dados;
- Criptografia do banco de dados;
- Gestão de dados: inclusão, exclusão e anonimização – descrição metodológica;
Metodologia
Descrição e Análise de medidas e salvaguardas de mitigação de riscos, tanto em relação aos processos internos, quanto aqueles que envolvem nossos produtos e serviços.