Escolar Documentos
Profissional Documentos
Cultura Documentos
Publicao:
Origem:
Sumrio:
CONTEDO
1.
1.1
Generalidades..................................................................................................... 4
1.2
1.3
2.
2.1
Poltica ............................................................................................................... 6
2.2
Organizao e Responsabilidades...................................................................... 6
2.3
Planejamento...................................................................................................... 6
2.3.1
2.3.2
2.3.3
2.3.4
2.3.5
2.4
2.5
Comunicao ..................................................................................................... 8
2.6
2.7
2.8
2.9
2.10
Monitoramento e Medio............................................................................... 11
2.11
2.12
2.13
3.
3.1
3.2
3.2.1
3.2.2
Generalidades................................................................................................... 12
Processamento de Categorias Especiais de Dados Pessoais ............................ 12
2
3.3
3.3.1
3.3.2
3.3.3
3.3.4
3.3.5
3.3.6
3.3.7
3.3.8
3.3.9
Boa -f.............................................................................................................. 12
Legalidade do Processamento de Dados.......................................................... 12
Propsitos Especficos ..................................................................................... 13
Adequao ....................................................................................................... 13
Exatido e Atualizao de Dados .................................................................... 13
Limitao de Armazenagem e Uso .................................................................. 13
Transmisso de Dados Pessoais ao Exterior.................................................... 13
Processamento de Pedidos ............................................................................... 13
Segurana de Dados......................................................................................... 13
4.
4.1
4.2
4.2.1
4.2.2
4.2.3
4.2.4
4.2.5
4.2.6
4.2.7
4.2.8
4.2.9
1. CAPTULO: INTRODUO
1.1
Generalidades
O Selo GoodPriv@cy uma marca registrada da IQNet. Esta lista de requisitos
estabelece as exigncias obrigatrias que devem ser cumpridas para a concesso e o
uso deste selo.
1.2
Referncias Normativas
Termos e Definies
Para os efeitos deste Regulamento, aplicam-se as seguintes definies:
a.
Registros
Registros so evidncias documentais de que os requisitos esto sendo atendidos (e.g.,
relatrio de teste).
b.
Edio
Qualquer tipo de manuseio de dados pessoais tais como em particular pesquisa,
armazenamento, utilizao, adaptao, divulgao, arquivamento e destruio,
independentemente dos mtodos de edio usados nesse contexto.
c.
Categoria Especial de Dados Pessoais
Dados pessoais que so definidos em lei como particularmente confidenciais, tais
como em particular detalhes sobre origem tnica ou racial, opinies polticas,
convices religiosas ou filosficas, filiao em sindicato trabalhista, sade, hbitos
sexuais, bem como informaes sobre sentenas criminais e penas.
d.
Receptores dos Dados
Pessoas ou setores que recebem dados pessoais.
e.
Item Relevante para Proteo de Dados
Processo ou servio que acarreta o processamento de dados pessoais.
f.
Documentos
Documentos de natureza instrutiva (descries de processos, instrues de trabalho,
listas de verificao etc.).
g.
Requisitos Aplicveis
Normas legais e demais regulamentos que legalmente vinculam a organizao (e.g.,
estatutos e contratos) e que devem ser cumpridos quando do processamento de dados
pessoais.
h.
Emergncias
Eventos especiais com conseqncias danosas significativas que requerem a
disponibilidade de aes de preparao e prontido para lidar rapidamente com a
situao.
i.
Item de Importncia Especial
Item relevante para a proteo de dados com respeito ao qual a garantia de proteo de
dados e de segurana da informao de importncia vital ou estratgica para a
organizao.
j.
Dado Pessoal
Informao sobre pessoas que so ou podem ser identificadas (= informao
concernente a pessoas).
k.
Anlise de Riscos
Identificao de ameaas e avaliao de riscos (perda potencial e probabilidade de
ocorrncia).
Poltica
A alta direo da organizao deve definir a poltica e assegurar que ela:
a.
apropriada, com respeito ao escopo e ao tipo dos seus processos de negcios,
servios e produtos, para garantir a implementao da proteo de dados e da
segurana das informaes da organizao;
b.
reflete os conceitos de valores da organizao com relao proteo e
segurana de dados;
c.
contm um compromisso em manter a proteo de dados e em cumprir as
regras de conduta que a organizao voluntariamente concordou aderir;
d.
contm um compromisso com a melhoria contnua da eficcia do sistema de
gesto de proteo de dados;
e.
contm uma declarao da alta direo da sua inteno em apoiar os objetivos
desta poltica;
f.
documentada, implementada, mantida e levada ao conhecimento de todos os
empregados;
g.
acessvel ao pblico em geral.
2.2
Organizao e Responsabilidades
1. Tarefas, responsabilidades e autoridades devem ser definidas, documentadas e
notificadas.
2. Devem ser fornecidos pela organizao os recursos organizacionais, tcnicos,
financeiros e humanos e as habilidades requeridos para a instalao e para a operao
do sistema de gesto de proteo de dados.
3. A alta direo da organizao deve nomear um ou mais representantes e, tendo em
conta os regulamentos legais pertinentes, a direo deve atribuir a essas pessoas suas
tarefas, definir suas responsabilidades e delegar-lhes autoridade, a fim de:
a.
assegurar que os requisitos deste Regulamento sejam estabelecidos,
implementados e mantidos;
b.
submeter alta direo relatrios sobre a eficcia do sistema de gesto de
proteo de dados, para sua avaliao e para prover uma base para sua
melhoria.
2.3
Planejamento
2.3.1
e.
f.
g.
2.3.2
2.3.3
2.3.4
2.3.5
a.
b.
c.
2.4
2.5
Comunicao
A organizao deve estabelecer e manter procedimentos referentes proteo de
dados e segurana da informao de forma a:
a.
garantir a comunicao interna entre os vrios nveis e funes da organizao;
b.
cumprir com as obrigaes legais ou contratuais das pessoas envolvidas, com
respeito a informao;
c.
habilitar as pessoas relacionadas aos dados pessoais a serem providas de
informao ou a visualizarem seus dados, de acordo com os requisitos legais;
d.
assegurar que sejam rapidamente resolvidas as outras solicitaes das pessoas
relacionadas aos dados pessoais para garantir direitos legais ou contratuais;
e.
assegurar que sejam cumpridas as obrigaes legais relativas a registro e
notificao;
f.
assegurar que sejam produzidos os documentos e os relatrios do sistema de
gesto de dados legalmente estipulados;
g.
assegurar que sejam cumpridas as obrigaes legais para fornecer assistncia
na obteno de esclarecimentos atravs de entidades reguladoras de proteo
de dados;
h.
organizar o recebimento, a documentao e a resposta a correspondncias
relevantes provenientes de grupos externos interessados;
8
i.
2.6
2.7
a.
b.
Controle de Processos
Os itens relevantes para a proteo de dados devem ser processados sob condies
predeterminadas. Com esse propsito:
a.
os itens relevantes para a proteo de dados devem ser identificados e devem
ser estabelecidos objetivos apropriados para o propsito de controle do
processo operacional. Nesse contexto, ateno especial deve ser dedicada
quelas situaes nas quais a ausncia de procedimentos documentados pode
conduzir a falhas em atender poltica de proteo de dados e de segurana da
informao, bem como em atingir os objetivos correspondentes;
b.
Na medida em que os procedimentos forem relevantes para terceiras partes
(fornecedores, contratados etc.), os procedimentos devem ser divulgados e a
aderncia aos mesmos deve ser assegurada, se necessrio, em bases
contratuais.
2.9
10
2.10
Monitoramento e Medio
1. A organizao deve estabelecer e manter procedimentos documentados para o
monitoramento regular e eficaz da aderncia da proteo de dados e da garantia da
segurana da informao para todos os itens relevantes para proteo de dados.
2. Os resultados do monitoramento devem ser documentados e mantidos de forma que
a implementao da proteo de dados e da segurana da informao possa ser
regularmente avaliada pela direo com base nesses registros.
2.11
2.12
2.13
11
3.2
3.2.1
Generalidades
O processamento de dados pessoais requer que:
a.
o incontestvel consentimento da pessoa relacionada aos dados pessoais tenha
sido obtido, ou
b.
a execuo de uma relao contratual ou pr-contratual com a pessoa
relacionada aos dados pessoais exija que estes dados sejam processados, ou
c.
uma obrigao legal se aplique e seu cumprimento exige o processamento de
dados pessoais, ou
d.
o processamento de dados pessoais seja necessrio para salvaguardar o
interesse vital da pessoa relacionada aos dados pessoais, ou
e.
o cumprimento de prestaes pblicas ou o exerccio de ofcio pblico exija o
processamento de dados pessoais, ou
f.
haja um interesse justificado e irresistvel da parte de quem processa os dados
ou de terceiros, acima dos interesses da pessoa relacionada aos dados pessoais.
3.2.2
3.3
3.3.1
Boa -f
A organizao obrigada a aderir ao princpio da boa-f quando processar dados
pessoais.
3.3.2
12
3.3.3
Propsitos Especficos
A organizao deve assegurar que os dados pessoais sejam colecionados somente para
propsitos claramente definidos e legtimos e que no haja processamento
superveniente de forma incompatvel com aqueles propsitos definidos.
3.3.4
Adequao
A organizao deve assegurar que os dados pessoais processados sejam relevantes e
apropriados para que se atinja o propsito do processamento e que o processamento
no se estenda alm dos propsitos especificados do processamento.
3.3.5
3.3.6
3.3.7
3.3.8
Processamento de Pedidos
1. A organizao responsvel pela emisso de pedidos deve cuidar de selecionar e
instruir os fornecedores e checar para assegurar que seja garantida a conformidade
com os regulamentos da legislao de proteo de dados aplicveis prpria
organizao.
2. Requisitos legais e contratuais, em particular obrigaes de confidencialidade,
devem ser cumpridos.
3. Os requisitos para assegurar a proteo de dados e para garantir a segurana da
informao durante o processamento dos pedidos devem ser acordados em bases
contratuais e devem ser documentados para o propsito de assegurar provas.
3.3.9
Segurana de Dados
O captulo 4 a seguir (Requisitos para Segurana da Informao) aplica-se
segurana de dados.
13
Princpio Bsico
Organizaes que processam dados pessoais devem tomar todas as aes tcnicas e
organizacionais apropriadas para garantir a segurana da informao associada aos
requisitos de proteo de dados pessoais. Nesse contexto, deve-se levar em conta o
tipo de processamento, bem como a classificao dos itens relevantes para proteo de
dados, em acordo com o item n. 2.3.2 deste Regulamento, acima.
4.2
4.2.1
Controles de Admisso
As seguintes aes em particular devem ser providenciadas para prevenir a admisso
de pessoas no autorizadas aos locais em que so processados dados pessoais:
a.
definio das zonas de segurana e reas de circulao;
b.
implementao das aes estruturais, tcnicas e organizacionais necessrias;
c.
regras obrigatrias e transparncia dos direitos de acesso;
d.
controle de entrada e permanncia das pessoas nas zonas de segurana.
4.2.2
Controles de Acesso
Para prevenir que pessoas no autorizadas sejam capazes de acessar o sistema de
processamento de dados e invadam os recursos de comunicao, as seguintes aes
devem ser tomadas:
a.
salvaguardar as interfaces entre as zonas (por exemplo, Intranet, Extranet e
Internet) contra o acesso no autorizado mediante uso de mecanismos de
proteo apropriados;
b.
edio controlada e documentada e monitoramento dos direitos do usurio;
c.
alocao dos IDs dos usurios e mecanismos de identificao mediante
processos formais;
d.
instalao de um login formal e procedimento de bloqueio para acesso aos
sistemas e servios de informao;
e.
definio, comunicao e implementao de prticas de segurana apropriadas
na seleo e uso de mecanismos de identificao (e.g., senhas de acesso).
4.2.3
4.2.4
a.
b.
c.
4.2.5
Controles de Entrada
De forma a identificar posteriormente quando e por quem os dados foram inseridos,
modificados ou eliminados, nos sistemas de processamento de dados, as seguintes
aes devem ser tomadas:
a.
registro histrico das entradas dos usurios, apropriado para propsitos de
auditoria;
b.
anlise dos registros histricos com respeito a desvios relevantes proteo de
dados.
4.2.6
Controles de Pedidos
Para garantir que dados pessoais processados por pedidos possam ser processados
somente de acordo com as instrues do cliente, as seguintes aes devem ser
implementadas:
a.
garantia contratual do fornecedor em aplicar aes equivalentes para a
segurana da informao;
b.
monitoramento efetivo da aderncia do fornecedor segurana da informao
contratualmente acordada.
4.2.7
Controles de Disponibilidade
Para garantir que dados pessoais sejam protegidos contra destruio acidental ou
intencional, as seguintes aes em particular devem ser tomadas:
a.
garantia da disponibilidade apropriada da infra-estrutura tcnica e estrutural;
b.
implementao das aes planejadas para identificar e prevenir influncias de
falhas de software, alm de garantir um sistema de alarme e interveno
mediante a aplicao de mecanismos de reao apropriados e, tanto quanto
possvel, automatizados;
c.
garantia de reserva e de recuperao de programas e de dados;
d.
assegurao e monitoramento da adequada capacidade de memria para dados
e para registros histricos.
4.2.8
Controles de Separao
De forma a garantir que os dados colecionados para distintas finalidades sejam
armazenados separadamente, as seguintes aes em particular devem ser tomadas:
a.
implementao organizacional e tcnica do processamento requerido de
separao de dados, com base nos propsitos especficos destes (ver item n.
3.3.3, acima).
4.2.9
Outros Controles
De forma a garantir a segurana da informao, as seguintes aes adicionais devem
ser tomadas:
15
a.
b.
c.
d.
e.
16